Speichern Ihrer Anmeldeinformationen für Azure DevOps Services

Azure DevOps Services

Wichtig

Azure DevOps ab dem 2. März 2020 keine Authentifizierung mit alternativen Anmeldeinformationen mehr unterstützt. Wenn Sie weiterhin alternative Anmeldeinformationen verwenden, empfehlen wir Ihnen dringend, zu einer sichereren Authentifizierungsmethode zu wechseln (z. B. persönliche Zugriffstoken). Weitere Informationen

Sicherheit von Anmeldeinformationen

Microsoft ist bestrebt, sicherzustellen, dass Ihre Projekte ohne Ausnahme sicher und sicher bleiben. In Azure DevOps profitieren Ihre Projekte von mehreren Ebenen von Sicherheits- und Governancetechnologien, betriebsbereiten Methoden und Konformitätsrichtlinien. Wir erzwingen Datenschutz und Integrität sowohl im Ruhe- als auch während der Übertragung. Darüber hinaus befolgen wir die folgenden Methoden in Bezug auf die Anmeldeinformationen oder Geheimnisse, die Azure DevOps speichern. Weitere Informationen zum Auswählen des richtigen Authentifizierungsmechanismus finden Sie unter Leitfaden für die Authentifizierung.

Persönliche Zugriffstoken (PATs)

  • Wir speichern einen Hash des PAT.
  • Unformatiertes PAT wird im Arbeitsspeicher auf Serverseite als 32 Byte generiert, die zufällig über RNGCryptoServiceProvider generiert und dann als Base-32-codierte Zeichenfolge für den Aufrufer freigegeben werden. Dieser Wert wird NICHT gespeichert.
  • DER PAT-Hash wird im Arbeitsspeicher auf Serverseite als HMACSHA256Hash des unformatierten PAT generiert, indem ein symmetrischer 64-Byte-Signaturschlüssel verwendet wird, der in unserem Schlüsseltresor gespeichert ist.
  • Der Hash wird in unserer Datenbank gespeichert.

Secure Shell-Schlüssel (SSH)

  • Wir speichern einen Hash der umschließenden Organisations-ID und des öffentlichen SSH-Schlüssels.
  • Der öffentliche Rohschlüssel wird direkt vom Aufrufer über SSL bereitgestellt.
  • Der SSH-Hash wird im Arbeitsspeicher auf Serverseite als HMACSHA256Hash der Organisations-ID und des unformatierten öffentlichen Schlüssels generiert, indem ein symmetrischer 64-Byte-Signaturschlüssel verwendet wird, der in unserem Schlüsseltresor gespeichert ist.
  • Der Hash wird in unserer Datenbank gespeichert.

OAuth-Anmeldeinformationen (JWTs)

  • Diese werden als vollständig selbstbeschreibende JSON-Webtoken (JWTs) ausgegeben und NICHT in unserem Dienst gespeichert.
  • Die Ansprüche in JWTs, die für unseren Dienst ausgestellt und präsentiert werden, werden mithilfe eines in unserem Schlüsseltresor gespeicherten Zertifikats überprüft.