Ámbitos granulares para OAuth de Azure Active Directory

Estamos incorporando compatibilidad con ámbitos granulares de Azure DevOps que se pueden usar para limitar el comportamiento de las aplicaciones de OAuth de Azure Active Directory que se integran con Azure DevOps.

Al establecer ámbitos en una aplicación, puede limitar las operaciones (por ejemplo, escribir en elementos de trabajo, ver el código fuente, configurar canalizaciones, etc.) que una aplicación puede realizar al conectarse a Azure DevOps en nombre del usuario. Las aplicaciones que usan un único ámbito de suplantación de usuario amplio que permite a la aplicación realizar cualquier operación que el usuario subyacente pueda realizar ahora puede usar los ámbitos granulares para limitar su comportamiento. Por ejemplo, una aplicación que solo lee elementos de trabajo solo se puede proporcionar un ámbito de workitem_read para que no pueda hacer nada fuera de este comportamiento intencionadamente o de lo contrario.

Agregar ámbitos a una aplicación requerirá que todas las aplicaciones que integre deben declarar primero lo que están intentando hacer por usted mediante la definición de estos ámbitos con antelación. Estos ámbitos estarán disponibles para que los revise antes de dar su consentimiento para autorizar esta aplicación a realizar acciones en su nombre. Esto garantiza que tiene más visibilidad sobre lo que hace una aplicación con los recursos a los que tiene acceso.

Como desarrollador de aplicaciones, esto ayudará a limitar el vector de riesgo si un token emitido por la aplicación entra en manos incorrectas.