Azure DevOps 服務 |Azure DevOps Server |Azure DevOps Server 2022
在整合服務與 Azure DevOps 時,您可以將服務存取權授與 Azure DevOps 資源,例如工作專案、原始程式碼和建置結果。
Azure DevOps 會使用基於 OpenID Connect(OIDC)的身份驗證,授予服務對您的資源的存取權。
- 授權會系結至您的認證,因此服務可以使用授權來存取 Azure DevOps 中的資源。
- 您可以使用您的Microsoft帳戶或工作帳戶來授權服務。
- 您授權的服務無法存取您的 Azure DevOps 認證。
先決條件
| 類別 | 要求 |
|---|---|
| 專案存取 | Project 成員。 |
| 存取層級 | 至少 基本 存取權。 |
| 權限 | 專案集合系統管理員群組的成員。 組織擁有者會自動成為此群組的成員。 |
驗證架構
當您在 Azure DevOps REST API 之上建置應用程式時,可以在 Microsoft entra ID 中註冊您的應用程式,以使用 OIDC 型驗證。 如需詳細資訊,請參閱 什麼是Microsoft身分識別平臺?。
有些較舊的應用程式會使用 OAuth 2.0 的實作來取得 Azure DevOps 資源的存取令牌。 不再支持這些 Azure DevOps OAuth 應用程式的註冊,因為 Azure DevOps OAuth 已定於 2026 年淘汰。 如需詳細資訊,請參閱 從 2025 年 4 月開始沒有新的 Azure DevOps OAuth 應用程式。
授權服務
典型的授權流程可能包含下列步驟:
您使用的服務會使用 Azure DevOps 資源,因此服務會要求授權。
若要起始服務的驗證程式,已註冊的應用程式會開啟 Microsoft Entra ID 網站,提示您選取帳戶。
選取帳戶之後,就會顯示授權核准頁面。
![Microsoft要求的許可權對話框的螢幕快照。應用程式名稱、要求的許可權清單,以及顯示 [取消] 和 [接受] 按鈕。](media/authorize/authorize-azure-devops-permissions.png?view=azure-devops)
您可以檢閱要求並核准授權。
授權的服務會使用該授權來存取 Azure DevOps 組織中的資源。
若要確保授權要求合法,請採取下列預防措施:
- 請注意瀏覽器中的任何 HTTPS 相關安全性警告。
- 請勿將認證直接提供給其他服務。 僅透過 Azure DevOps 中的授權核准頁面輸入您的認證。
管理授權
當您在 Microsoft Entra 識別碼中註冊應用程式時,應用程式可以從Microsoft身分識別平臺要求令牌。 然後,已驗證的服務可以使用令牌來存取特定的受保護資源。 每個令牌的存留期最多為90分鐘。 令牌到期之後,會撤銷服務對資源的存取權。 如需詳細資訊,請參閱 令牌存留期。
相反地,向 Azure DevOps OAuth 註冊的應用程式可以授權服務存取 Azure DevOps 資源較長的時間。 如需目前已獲授權存取您帳戶的服務清單,請移至 https://app.vssps.visualstudio.com/Profile/View 並選取 [管理授權]。
![[授權] 對話框的螢幕快照。授與 Zapier 服務的許可權是可見的,而且有 Revoke 連結可供使用。](media/authorize/authorizations.png?view=azure-devops)
您可以使用此頁面來撤銷授權,讓服務無法代表您存取您的帳戶。