Concesión o restricción del acceso mediante permisos

  • Artículo
  • Tiempo de lectura: 8 minutos

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Puede conceder o restringir el acceso a los recursos que administra en Azure DevOps. Es posible que quiera abrir o cerrar el acceso a un conjunto selecto de características y a un conjunto seleccionado de usuarios. Aunque los grupos de seguridad integrados proporcionan un conjunto estándar de asignaciones de permisos, puede que necesite requisitos de seguridad adicionales que estas asignaciones no cumplen.

Si no está nuevo en la administración de permisos y grupos, consulte Introducción a los permisos,el acceso y los grupos de seguridad para obtener información sobre los estados de permisos y la herencia.

En este artículo aprenderá a realizar las siguientes tareas:

  • Método recomendado para conceder y restringir permisos
  • Delegar tareas mediante la asignación de permisos select a roles específicos
  • Limitación de la visibilidad de la información de la organización
  • Limitar el selector de personas a usuarios y grupos del proyecto
  • Restricción del acceso para ver o modificar objetos
  • Restricción de la modificación de elementos de trabajo en función de un usuario o grupo
  • Método recomendado para conceder y restringir permisos
  • Delegar tareas mediante la asignación de permisos select a roles específicos
  • Restricción del acceso para ver o modificar objetos
  • Restricción de la modificación de elementos de trabajo en función de un usuario o grupo

Sugerencia

Dado que establece muchos permisos en un nivel de objeto, como repositorios y rutas de acceso de área, la estructura del proyecto determina las áreas que puede abrir o cerrar.

Con fines de mantenimiento, se recomienda usar los grupos de seguridad integrados o los grupos de seguridad personalizados para administrar los permisos.

No puede cambiar la configuración de permisos para el grupo administradores de Project o el grupo administradores de Project recopilación, que es por diseño. Sin embargo, para todos los demás grupos, puede cambiar los permisos.

Si administra un pequeño número de usuarios, es posible que encuentre cambiar los permisos individuales como una opción válida. Sin embargo, los grupos de seguridad personalizados permiten realizar un mejor seguimiento de los roles y permisos asignados a esos roles.

Delegación de tareas a roles específicos

Como administrador o propietario de la cuenta, es una buena idea delegar tareas administrativas a los miembros del equipo que conducen o administran un área. Algunos de los roles integrados principales que incluyen permisos predeterminados y asignaciones de roles son:

  • Lectores
  • Colaboradores
  • Administrador de equipo (rol)
  • Project Administrators
  • Project Collection Administrators

Para obtener un resumen de los permisos para los roles anteriores, consulte Permisos predeterminados y acceso, o para los administradores de recopilación de Project, consulte Agregar administradores.

Para delegar tareas a otros miembros de la organización, considere la posibilidad de crear un grupo de seguridad personalizado y, a continuación, conceder permisos como se indica en la tabla siguiente.

Rol

Tareas que se realizarán

Permisos para establecer en Permitir

Cliente potencial de desarrollo (Git)

Administración de directivas de rama

Editar directivas, Forzar inserción y Administrar permisos
Vea Establecer permisos de rama.

Cliente potencial de desarrollo (TFVC)

Administración de repositorios y ramas

Administrar etiquetas, Administrar rama y Administrar permisos
Consulte Set TFVC repository permissions (Establecer permisos de repositorio tfvc).

Arquitecto de software (Git)

Administrar repositorios

Crear repositorios, forzar la inserción y administrar permisos
Consulte Set Git repository permissions (Establecer permisos de repositorio de Git).

Administradores de equipo

Agregar rutas de acceso de área para su equipo
Adición de consultas compartidas para su equipo

Crear nodos secundarios, Eliminar este nodo, Editar este nodo Consulte Crear nodos secundarios, Modificar elementos de trabajo en una ruta de acceso de área.
Contribuir, eliminar, administrar permisos (para una carpeta de consulta), consulte Establecer permisos de consulta.

Colaboradores

Agregar consultas compartidas en una carpeta de consultas, Contribuir a los paneles

Contribuir, eliminar (para una carpeta de consulta), consulte Establecer permisos de consulta.
Para ver, editar y administrar paneles, consulte Establecer permisos de panel.

Project o administrador de productos

Agregar rutas de acceso de área, rutas de iteración y consultas compartidas
Eliminar y restaurar elementos de trabajo, Mover elementos de trabajo fuera de este proyecto, Eliminar permanentemente elementos de trabajo

Edite la información de nivel de proyecto; consulte Agregar administradores, establecer permisos enel nivel de proyecto o en el nivel de colección de proyectos.

Administrador de plantillas de proceso(modelo de proceso de herencia)

Personalización del seguimiento del trabajo

Administrar permisos de proceso, Crear nuevos proyectos, Crear proceso, Eliminar campo de cuenta, Proceso de eliminación, Eliminar proyecto, Editar proceso
Consulte Agregar administradores, establecer permisos en el nivel de proyecto o en el nivel de colección de proyectos.

Administrador de plantillas de proceso(modelo de proceso XML hospedado)

Personalización del seguimiento del trabajo

Edite la información de nivel de colección; consulte Agregar administradores, establecer permisos enel nivel de proyecto o de colección de proyectos.

Project administración de aplicaciones (modelo de proceso XML local)

Personalización del seguimiento del trabajo

Edite la información de nivel de proyecto; consulte Agregar administradores, establecer permisos enel nivel de proyecto o en el nivel de colección de proyectos.

Administrador de permisos

Administración de permisos para un proyecto, una cuenta o una colección

Para un proyecto, Editar información de nivel de proyecto
Para una cuenta o colección, edite la información de nivel de instancia (o de colección).
Para comprender el ámbito de estos permisos, vea Guía de búsqueda de permisos. Para conceder permisos, consulte Agregar administradores, establecerpermisos en el nivel de proyecto o en el nivel de colección de proyectos.

También puede conceder permisos para administrar permisos para los objetos siguientes:

Limitación de la visibilidad de la información de la organización y del proyecto

De forma predeterminada, los usuarios agregados a una organización pueden ver toda la información y configuración de la organización y del proyecto. Para restringir el acceso solo a los proyectos a los que agregue usuarios, puede habilitar la característica de vista previa Limitar visibilidad de usuario para proyectos para la organización. Para habilitar esta característica, consulte Administración o habilitación de características.

Con esta característica habilitada, los usuarios agregados al grupo usuarios de ámbito Project no pueden ver la mayoría de la configuración de la organización y solo pueden conectarse a los proyectos a los que se han agregado.

Limitar el selector de personas a usuarios y grupos del proyecto

En el caso de las organizaciones que administran sus usuarios y grupos mediante Azure Active Directory (Azure AD), los selectores de personas proporcionan compatibilidad para buscar todos los usuarios y grupos agregados a Azure AD, no solo los agregados a un proyecto. Los selectores de personas admiten las Azure DevOps siguientes:

  • Selección de una identidad de usuario de un campo de identidad de seguimiento de trabajo como Asignado a
  • Selección de un usuario o grupo mediante @mention en una discusión de elementos de trabajo o un campo de texto enriquecido, una discusión de solicitud de extracción, comentarios de confirmación o comentarios de conjunto de cambios o conjunto de cambios
  • Selección de un usuario o grupo mediante @mention de una página wiki

Como se muestra en la siguiente imagen, basta con empezar a escribir en un cuadro de selección de personas hasta que encuentre una coincidencia con un nombre de usuario o grupo de seguridad.

Captura de pantalla del selector de personas

Los usuarios y grupos que se agregan al grupo usuarios de ámbito Project solo pueden ver y seleccionar usuarios y grupos en el proyecto al que están conectados desde un selector de personas. Para limitar el ámbito de los selectores de personas para todos los miembros del proyecto, vea Administrar el proyecto, Limitar búsqueda de identidad y selección.

Restricción del acceso para ver o modificar objetos

Azure DevOps está diseñado para permitir que todos los usuarios válidos puedan ver todos los objetos definidos en el sistema. Puede restringir el acceso a los recursos estableciendo el estado de permiso en Denegar. Puede establecer permisos para los miembros que pertenecen a un grupo de seguridad personalizado o para un usuario individual. Para obtener más información sobre cómo establecer estos tipos de permisos, vea Cambiar permisos individuales,conceder acceso select a funciones específicas.

Área que se restringirá

Permisos para establecer en Denegar

Visualización o contribución a un repositorio

Ver, contribuir
Consulte Set Git repository permissions (Establecer permisos de repositorio de Git) o Set TFVC repository permissions (Establecer permisos de repositorio TFVC).

Ver, crear o modificar elementos de trabajo dentro de una ruta de acceso de área

Editar elementos de trabajo en este nodo, Ver elementos de trabajo en este nodo
Consulte Establecer permisos y acceso para el seguimiento del trabajo, Modificar elementos de trabajo en una ruta de acceso de área.

Visualización o actualización de las canalizaciones de compilación y versión

Editar canalización de compilación, Ver canalización de compilación
Editar canalización de versión, Ver canalización de versión
Estos permisos se establecen en el nivel de objeto. Consulte Establecer permisos de compilación y versión.

Edición de paneles

Visualización de paneles
Consulte Establecer permisos de panel.

Restricción de la modificación de elementos de trabajo o selección de campos

Para obtener ejemplos que muestran cómo restringir la modificación de elementos de trabajo o seleccionar campos, vea Escenarios de regla de ejemplo.

Pasos siguientes

Eliminación de cuentas de usuario