Componentes, términos y conceptos clave
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Para implementar y administrar Azure DevOps Server de forma eficaz, debe comprender cómo funciona y se comunica con otros componentes de implementación. Como administrador de Azure DevOps, debe estar familiarizado con autenticación de Windows, los protocolos de red y el tráfico, y la estructura de la red empresarial en la que está instalado Azure DevOps. También debe conocer los grupos y permisos de Azure DevOps.
También puede encontrar una comprensión de SQL Server, SQL Server Reporting Services y Productos de SharePoint útiles.
Es mejor que pueda planear, implementar y administrar Azure DevOps Server si comprende los componentes y los términos descritos en este artículo.
Servicio analytics
El servicio Analytics es la plataforma de informes del futuro para Azure DevOps. Actualmente está disponible en Azure DevOps Services y se puede instalar desde Marketplace de Azure DevOps en Azure DevOps Server. Para más información, consulte ¿Qué es el servicio Analytics?
Capa de aplicación, capa de datos y nivel de cliente
Niveles lógicos que componen Azure DevOps Server. Estas capas pueden implementarse en el mismo equipo físico o se pueden instalar en varios equipos. Para obtener más información, consulte Introducción a la arquitectura para Azure DevOps Server.
Colección de proyectos
Unidad organizativa principal para todos los datos de Azure DevOps Server. Las colecciones determinan los recursos disponibles para los proyectos agregados a ellos. Estos recursos pueden incluir SQL Server Reporting Services, code Búsqueda, extensiones de Marketplace, etc. Para obtener más información, consulte Administración de colecciones de proyectos.
Project
Un punto central para que el equipo comparta actividades de equipo necesarias para desarrollar una tecnología o producto de software específico. Los proyectos se organizan en colecciones de proyectos. Para obtener más información, consulte Acerca de los proyectos y el escalado de la organización.
Consola de administración de Azure DevOps Server
La herramienta de administración centralizada para Azure DevOps Server administradores para configurar y administrar recursos. Para obtener más información, vea Referencia rápida de tareas administrativas.
Cuentas de servicio
La cuenta o las cuentas que los servicios web y las aplicaciones ejecutan Azure DevOps. Azure DevOps Server requiere que las cuentas de servicio realicen operaciones entre servidores y servicios web. Estas cuentas de servicio tienen requisitos específicos. Para más información, consulte Cuentas de servicio y dependencias en Azure DevOps Server.
Productos de SharePoint
Software que proporciona compatibilidad con paneles y portales de proyectos. Puede incluir una o varias aplicaciones web de SharePoint como parte de la implementación de Azure DevOps Server. Para incluir una de estas aplicaciones, debe instalar y configurar Azure DevOps Server extensiones para productos de SharePoint y debe configurar permisos en toda la implementación. Para obtener más información, consulte Uso compartido de información mediante el portal del proyecto. La integración con productos de SharePoint ha quedado en desuso para TFS 2018 y versiones posteriores.
SQL Server y SQL Server Reporting Services
Software que proporciona una plataforma de base de datos para el almacenamiento de datos y una plataforma de inteligencia empresarial para soluciones de integración, análisis e informes de datos. Azure DevOps Server almacena sus datos en bases de datos de SQL Server. También puede incluir opcionalmente un servidor que ejecute SQL Server Reporting Services y que genere automáticamente informes para proyectos. Para más información, consulte Administración de informes, almacenamiento de datos y cubo de Analysis Services.
Conceptos de seguridad
Para optimizar la seguridad de Azure DevOps Server, debe comprender los conceptos siguientes:
- Topología, que incluye dónde y cómo se implementan los servidores que ejecutan componentes de Azure DevOps, el tráfico de red que pasa entre Azure DevOps Server y los clientes de Azure DevOps, y los servicios que deben ejecutarse en Azure DevOps Server.
- Autenticación, que incluye la determinación de la validez de usuarios, grupos y servicios en Azure DevOps Server.
- Autorización, que incluye la determinación de si los usuarios, grupos y servicios válidos de Azure DevOps Server tienen los permisos adecuados para realizar acciones específicas.
También debe tener en cuenta los demás componentes y servicios de los que depende Azure DevOps Server.
Cuando considere la seguridad de Azure DevOps Server, debe comprender la diferencia entre la autenticación y la autorización. Autenticación es la verificación de las credenciales de un intento de conexión de un cliente, servidor o proceso. Autorización es la verificación de que la identidad que está intentando conectarse tiene los permisos para acceder al objeto o método. La autorización se produce tras una autenticación correcta. Si una conexión no se autentica, se produce un error antes de que se realice la comprobación de autorización. Aunque la autenticación de una conexión se verifique positivamente, se puede denegar una determinada acción porque el usuario o el grupo no están autorizados a realizar esa acción.
Topologías, puertos y servicios
El primer elemento de implementación y seguridad para Azure DevOps Server es si los componentes de la implementación se pueden conectar entre sí para comunicarse. El objetivo es habilitar conexiones entre clientes de Azure DevOps y Azure DevOps Server y limitar o evitar otros intentos de conexión.
Azure DevOps Server depende de determinados puertos y servicios para que pueda funcionar. Estos puertos se pueden proteger y supervisar para ayudar a satisfacer las necesidades de seguridad de la empresa. Debe permitir que el tráfico de red de Azure DevOps Server pase entre los clientes de Azure DevOps, los servidores que hospedan los componentes lógicos del nivel de aplicación y la capa de datos, los equipos para Team Foundation Build y los clientes remotos que usan el servidor proxy de Azure DevOps. De forma predeterminada, Azure DevOps Server está configurado para usar HTTP para sus servicios web. Para obtener una lista completa de los puertos y servicios que Azure DevOps Server usan y cómo se usan en su arquitectura, consulte Azure DevOps Server arquitectura.
Puede implementar Azure DevOps Server en un dominio de Active Directory o en un grupo de trabajo. Active Directory dispone de más características de seguridad integradas que los grupos de trabajo. Puede usar las características de Active Directory para ayudar a proteger la implementación de Azure DevOps Server. Por ejemplo, puede configurar Active Directory para evitar nombres de equipo duplicados para que un usuario malintencionado no pueda suplantar el nombre del equipo con un servidor no autorizado que ejecute Azure DevOps Server. Para mitigar el mismo tipo de amenaza en un grupo de trabajo, debe configurar certificados de equipo.
Tanto si implementa Azure DevOps Server en un grupo de trabajo o en un dominio, debe cumplir ciertas restricciones impuestas por los requisitos de Azure DevOps Server en sí. Para obtener más información sobre las topologías para Azure DevOps Server, vea Una topología simple de Azure DevOps Server, Una topología de Azure DevOps Server moderada, una topología de Azure DevOps Server compleja, descripción Windows SharePoint Services y Descripción de SQL Server y SQL Server Reporting Services.
Autenticación
La seguridad de Azure DevOps Server se integra con y se basa en la autenticación integrada de Windows y en las características de seguridad del sistema operativo Windows. Puede usar la autenticación integrada de Windows para autenticar cuentas de conexiones entre clientes de Azure DevOps y Azure DevOps Server, para los servicios web en los servidores que hospedan la aplicación lógica y los niveles de datos, y para las conexiones entre los servidores de capa de aplicación y de capa de datos.
Nota
Puede configurar Azure DevOps Server para admitir Kerberos para la autenticación mutua tanto del cliente como del servidor después de instalar Azure DevOps Server.
No debe configurar ningún SQL Server conexione de base de datos entre Azure DevOps Server y productos de SharePoint para usar la autenticación de SQL Server porque no es tan seguro como autenticación de Windows. Cuando se conecta a la base de datos, el nombre de usuario y la contraseña de la cuenta de administrador de la base de datos se envían en un formato sin cifrar. La autenticación integrada de Windows no envía el nombre de usuario ni la contraseña. En su lugar, usa protocolos de seguridad de autenticación integrados de Windows para transferir información de identidad de la cuenta de servicio asociada al grupo de aplicaciones de Internet Information Services (IIS) host a SQL Server.
Authorization
Azure DevOps Server autorización se basa en usuarios y grupos de Azure DevOps, los permisos que se asignan directamente a esos usuarios y grupos, y los permisos que esos usuarios y grupos pueden heredar al pertenecer a otros grupos de Azure DevOps Server. Los usuarios y grupos de Azure DevOps pueden ser usuarios o grupos locales, usuarios o grupos de Active Directory, o ambos.
Azure DevOps Server está preconfigurado con grupos predeterminados en el nivel de servidor, colección y proyecto. Puede rellenar estos grupos agregando usuarios individuales. Sin embargo, puede que le resulte más fácil administrarlos si rellena estos grupos mediante los grupos de seguridad de Active Directory. Al adoptar este enfoque, puede administrar la pertenencia a grupos y los permisos de forma más eficaz en varios equipos o aplicaciones, como Productos de SharePoint y SQL Server.
Es posible que, en el caso de su implementación, sea necesario configurar usuarios, grupos y permisos en varios equipos y en diversas aplicaciones. Por ejemplo, debe configurar permisos para usuarios y grupos en Reporting Services, Productos de SharePoint y Azure DevOps Server si desea incluir informes y portales de proyectos como parte de la implementación. En Azure DevOps Server, puede establecer permisos para cada proyecto, para cada colección y en una implementación (en el nivel de servidor). Además, determinados permisos se conceden de forma predeterminada a cualquier usuario o grupo que agregue a Azure DevOps Server, ya que ese usuario o grupo se agrega automáticamente a usuarios válidos de Azure DevOps. Para obtener más información, consulte Administrar usuarios o grupos.
En additon para configurar permisos para la autorización en Azure DevOps Server, es posible que necesite autorización dentro del control de versiones y los elementos de trabajo. Estos permisos se administran por separado en un símbolo del sistema, pero se integran como parte de la interfaz de Team Explorer.