Komponenten, Begriffe und Schlüsselkonzepte

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Hinweis

Azure DevOps Server wurde zuvor als Visual Studio Team Foundation Server bezeichnet.

Um Azure DevOps Server effektiv bereitzustellen und zu verwalten, müssen Sie verstehen, wie es funktioniert und mit anderen Bereitstellungs Komponenten kommuniziert. Als Azure devops-Administrator sollten Sie mit der Windows-Authentifizierung, den Netzwerkprotokollen und dem Datenverkehr sowie mit der Struktur des Geschäftsnetzwerks vertraut sein, in dem Azure devops installiert ist. Sie sollten auch ein Verständnis der Azure devops-Gruppen und-Berechtigungen haben.

Möglicherweise finden Sie auch ein Verständnis der nützlichen SQL Server, SQL Server Reporting Services und SharePoint-Produkte.

Sie sind besser in der Lage, Azure DevOps Server zu planen, bereitzustellen und zu verwalten, wenn Sie die in diesem Artikel beschriebenen Komponenten und Begriffe verstanden haben.

Analytics-Dienst

Der Analytics-Dienst ist die Berichterstattungs Plattform der Zukunft für Azure devops. Sie ist zurzeit auf Azure DevOps Services verfügbar und kann über den Azure devops Marketplace auf Azure DevOps Server installiert werden. Weitere Informationen finden Sie unter Was ist der Analysedienst? .

Anwendungsebene, Datenebene und Client Ebene

Die logischen Ebenen, die Azure DevOps Server bilden. Diese Ebenen können alle auf demselben physischen Computer bereitgestellt werden, oder sie können auf mehreren Computern installiert werden. Weitere Informationen finden Sie unter Übersicht über die Architektur für Azure DevOps Server.

Projektauflistung.

Die primäre Organisationseinheit für alle Daten in Azure DevOps Server. Sammlungen bestimmen die Ressourcen, die für die zu Ihnen hinzugefügten Projekte verfügbar sind. Diese Ressourcen können SQL Server Reporting Services, Codesuche, Marketplace-Erweiterungen usw. umfassen. Weitere Informationen finden Sie unter Verwalten von ProjektAuflistungen.

Project

Ein Teamprojekt ist eine Zentrale für kooperative Aktivitäten des Teams, die zum Entwickeln bestimmter Softwaretechnologien oder -produkte erfolgen. Projekte werden in Projekt Sammlungen organisiert. Weitere Informationen finden Sie unter Informationen zu Projekten und zum Skalieren Ihrer Organisation.

Azure DevOps Server-Verwaltungskonsole

Das zentrale Verwaltungs Tool für Azure DevOps Server Administratoren, um Ressourcen zu konfigurieren und zu verwalten. Weitere Informationen finden Sie in der Kurzübersicht zum Verwaltungs Task.

Dienstkonten

Das Konto oder die Konten, die die Webdienste und Anwendungen von Azure devops ausführen. Azure DevOps Server erfordert, dass Dienst Konten Vorgänge über Server und Webdienste hinweg ausführen. Diese Dienstkonten weisen bestimmte Anforderungen auf. Weitere Informationen finden Sie unter Dienst Konten und Abhängigkeiten in Azure DevOps Server.

SharePoint-Produkte

Software, die Unterstützung für Projekt Portale und Dashboards bereitstellt. Sie können eine oder mehrere SharePoint-Webanwendungen als Teil der Bereitstellung von Azure DevOps Server einschließen. Wenn Sie eine dieser Anwendungen einschließen möchten, müssen Sie Azure DevOps Server Erweiterungen für SharePoint-Produkte installieren und konfigurieren, und Sie müssen die Berechtigungen für die gesamte Bereitstellung konfigurieren. Weitere Informationen finden Sie unter Freigeben von Informationen mithilfe des Projektportals. Die Integration in SharePoint-Produkte ist für TFS 2018 und höhere Versionen veraltet.

SQL Server und SQL Server Reporting Services

Software, die eine Datenbankplattform für Data Warehousing und eine Business Intelligence-Plattform für Datenintegration, Analyse und Berichtslösungen bereitstellt. Azure DevOps Server speichert seine Daten in SQL Server Datenbanken. Optional können Sie auch einen Server mit SQL Server Reporting Services einschließen, von dem automatisch Berichte für-Projekte generiert werden. Weitere Informationen finden Sie unter Verwalten von Berichten, Data Warehouse und Analysis Services-Cube.

Sicherheitskonzepte

Um die Sicherheit von Azure DevOps Server zu optimieren, sollten Sie sich mit den folgenden Konzepten vertraut machen:

  • Topologie, die den Speicherort und die Art der Bereitstellung von Servern, auf denen Komponenten von Azure devops ausgeführt werden, umfasst, den Netzwerk Datenverkehr zwischen Azure DevOps Server und Azure devops-Clients sowie die Dienste, die auf Azure DevOps Server ausgeführt werden müssen.
  • Authentifizierung, einschließlich der Bestimmung der Gültigkeit von Benutzern, Gruppen und Diensten in Azure DevOps Server.
  • Autorisierung, einschließlich der Bestimmung, ob gültige Benutzer, Gruppen und Dienste in Azure DevOps Server über die entsprechenden Berechtigungen zum Ausführen bestimmter Aktionen verfügen.

Berücksichtigen Sie auch die anderen Komponenten und Dienste, von denen Azure DevOps Server abhängig ist.

Wenn Sie die Sicherheit für Azure DevOps Server in Erwägung gezogen haben, müssen Sie den Unterschied zwischen Authentifizierung und Autorisierung verstehen. Authentifizierung bezeichnet die Überprüfung der Anmeldeinformationen bei einem Verbindungsversuch durch einen Client, Server oder Prozess. Autorisierung ist die Überprüfung, ob der Benutzer, der eine Verbindung herstellt, über Berechtigungen für den Zugriff auf das Objekt oder die Methode verfügt. Die Autorisierung erfolgt erst nach erfolgreicher Authentifizierung. Wenn eine Verbindung nicht authentifiziert werden kann, missling der Verbindungsversuch bereits vor der Autorisierung. Nach erfolgreicher Authentifizierung kann eine bestimmte Aktion trotzdem unzulässig sein, weil der Benutzer oder die Gruppe nicht zum Durchführen der Aktion autorisiert ist.

Topologien, Ports und Dienste

Das erste Element der Bereitstellung und Sicherheit für Azure DevOps Server ist, ob die Komponenten der Bereitstellung miteinander kommunizieren können. Ziel ist es, Verbindungen zwischen Azure devops-Clients und Azure DevOps Server zu aktivieren und andere Verbindungsversuche einzuschränken oder zu verhindern.

Azure DevOps Server ist abhängig von bestimmten Ports und Diensten, sodass diese funktionieren. Diese Ports können zur Einhaltung der Sicherheitsanforderungen des Unternehmens gesichert und überwacht werden. Sie müssen den Netzwerk Datenverkehr für Azure DevOps Server zulassen, um zwischen Azure devops-Clients, den Servern, auf denen die logischen Komponenten der Anwendungsebene und der Datenebene gehostet werden, den Computern für Team Foundation Build und Remote Clients, die den Azure devops-Proxy Server verwenden, zu übergeben. Standardmäßig ist Azure DevOps Server für die Verwendung von http für seine Webdienste konfiguriert. Eine vollständige Liste der Ports und Dienste, die Azure DevOps Server verwendet und deren Verwendung innerhalb der Architektur erfolgt, finden Sie unter Azure DevOps Server Architektur.

Sie können Azure DevOps Server in einer Active Directory Domäne oder in einer Arbeitsgruppe bereitstellen. Active Directory stellt mehr integrierte Sicherheitsfunktionen bereit als Arbeitsgruppen. Sie können Active Directory Features verwenden, um die Bereitstellung von Azure DevOps Server zu sichern. Beispielsweise können Sie Active Directory konfigurieren, um doppelte Computernamen zu verhindern, sodass ein böswilliger Benutzer den Computernamen nicht mit einem nicht autorisierten Server, auf dem Azure DevOps Server ausgeführt wird, sponicht können kann. Um die gleiche Art von Bedrohung in einer Arbeitsgruppe zu verhindern, müssen Sie Computerzertifikate konfigurieren.

Unabhängig davon, ob Sie Azure DevOps Server in einer Arbeitsgruppe oder einer Domäne bereitstellen, müssen Sie bestimmte Einschränkungen einhalten, die von den Anforderungen Azure DevOps Server selbst auferlegt werden. Weitere Informationen zu Topologien für Azure DevOps Server finden Sie unter eine einfache Azure DevOps Server Topologie, eine moderate Azure DevOps Server Topologie, eine komplexe Azure DevOps Server Topologie, Grundlegendes zu Windows SharePoint Servicesund Grundlegendes zu SQL Server und SQL Server Reporting Services.

Authentifizierung

Die Sicherheit für Azure DevOps Server ist in integriert und basiert auf der integrierten Windows-Authentifizierung und den Sicherheitsfeatures des Windows-Betriebssystems. Sie können die integrierte Windows-Authentifizierung verwenden, um Konten für Verbindungen zwischen Azure devops-Clients und Azure DevOps Server zu authentifizieren, für Webdienste auf den Servern, auf denen die logische Anwendungs-und Daten Ebenen gehostet werden, sowie für Verbindungen zwischen Anwendungsebenenservern und Datenebenenservern.

Hinweis

Sie können Azure DevOps Server so konfigurieren, dass Kerberos für die gegenseitige Authentifizierung des Clients und des Servers unterstützt wird, nachdem Sie Azure DevOps Server installiert haben.

Sie sollten keine SQL Server Datenbankverbindungen zwischen Azure DevOps Server und SharePoint-Produkten konfigurieren, um die SQL Server-Authentifizierung zu verwenden, da Sie nicht so sicher wie die Windows-Authentifizierung ist. Bei der Verbindung mit der Datenbank werden Benutzername und Kennwort für das Administratorkonto der Datenbank unverschlüsselt übertragen. Bei der integrierten Windows-Authentifizierung werden Benutzername und Kennwort nicht gesendet. Stattdessen werden Sicherheitsprotokolle der integrierten Windows-Authentifizierung verwendet, um Dienst Konto-Identitätsinformationen, die mit dem Host Internetinformationsdienste (IIS)-Anwendungs Pool verknüpft sind, zu SQL Server zu übertragen.

Autorisierung

Azure DevOps Server Autorisierung basiert auf Benutzern und Gruppen in Azure devops, den Berechtigungen, die diesen Benutzern und Gruppen direkt zugewiesen sind, und den Berechtigungen, die diese Benutzer und Gruppen durch die Zugehörigkeit zu anderen Gruppen in Azure DevOps Server erben können. Benutzer und Gruppen in Azure devops können lokale Benutzer oder Gruppen, Active Directory Benutzer oder Gruppen oder beides sein.

Azure DevOps Server ist auf Server-, Sammlungs-und Projektebene mit Standard Gruppen vorkonfiguriert. Sie können diesen Gruppen einzelne Benutzer hinzufügen. Sie sollten diese Gruppen jedoch mithilfe von Active Directory-Sicherheitsgruppen auffüllen, da diese einfacher verwaltet werden können. Bei diesem Ansatz können Sie die Gruppenmitgliedschaft und Berechtigungen effizienter auf mehreren Computern oder Anwendungen verwalten, wie z. b. SharePoint-Produkte und SQL Server.

Möglicherweise müssen Sie in Ihrer Bereitstellung Benutzer, Gruppen und Berechtigungen auf mehreren Computern und in verschiedenen Anwendungen konfigurieren. Beispielsweise müssen Sie Berechtigungen für Benutzer und Gruppen in Reporting Services, SharePoint-Produkte und Azure DevOps Server konfigurieren, wenn Sie Berichte und Projekt Portale als Teil der Bereitstellung einschließen möchten. In Azure DevOps Server können Sie Berechtigungen für jedes Projekt, für jede Sammlung und für eine Bereitstellung (auf Server Ebene) festlegen. Außerdem werden bestimmte Berechtigungen standardmäßig allen Benutzern oder Gruppen erteilt, die Sie Azure DevOps Server hinzufügen, da dieser Benutzer oder diese Gruppe automatisch zu den gültigen Azure devops-Benutzern hinzugefügt wird. Weitere Informationen finden Sie unter Verwalten von Benutzern oder Gruppen.

Wenn Sie Berechtigungen für die Autorisierung in Azure DevOps Server konfigurieren möchten, benötigen Sie möglicherweise eine Autorisierung innerhalb der Versionskontrolle und Arbeitsaufgaben. Sie verwalten diese Berechtigungen separat an einer Eingabeaufforderung, Sie sind jedoch als Teil der-Schnittstelle für Team Explorer integriert.