Adición y administración de grupos de seguridad

  • Artículo
  • 7 minutos para leer

Azure DevOps Services | Azure DevOps Server 2020

Los grupos de seguridad se usan para administrar los permisos y el acceso, como se describe en Introducción a los permisos, el acceso y los grupos de seguridad. Por ejemplo, a los miembros del grupo Colaboradores o Project administradores se les asignan los permisos que se permiten para esos grupos.

Azure DevOps está preconfigurado con grupos de seguridad predeterminados. Puede agregar y administrar grupos de seguridad para su organización, una colección o un proyecto con los comandos az devops security group. Use este comando para:

  • Creación de un nuevo grupo de seguridad
  • Ver los grupos de seguridad y los detalles del grupo de seguridad
  • Actualización o eliminación de un grupo de seguridad
  • Administración de pertenencias a grupos de seguridad para grupos y usuarios

Nota

Por Azure DevOps Server, puede administrar grupos de seguridad mediante el comando que se documenta en este artículo o mediante az devops security group el az devops security group Para obtener más información, vea COMANDO TFSSecurity.

Requisitos previos

  • Para agregar y administrar grupos de seguridad, debe ser miembro del grupo de seguridad Project collection administrators .
  • Debe haber instalado la extensión de Azure DevOps CLI como se describe en Introducción a Azure DevOps CLI.
  • Inicie sesión Azure DevOps mediante az login .
  • Para los ejemplos de este artículo, establezca la organización predeterminada de la siguiente manera:
    • Para Azure DevOps Services: .
    • Para Azure DevOps Server:

Comandos de grupo de seguridad

Get-Help Descripción
az devops security group create Cree un grupo Azure DevOps seguridad.
az devops security group delete Elimine un grupo Azure DevOps seguridad.
az devops security group list Enumera todos los grupos de un proyecto u organización.
az devops security group show Mostrar detalles del grupo.
az devops security group update Actualice el nombre y la descripción de un grupo de seguridad.
az devops security group membership add Agregue un miembro a un grupo de seguridad.
az devops security group membership list Enumerar las pertenencias de un grupo o usuario.
az devops security group membership remove Quitar un miembro de un grupo de seguridad.

Los parámetros siguientes son opcionales para todos los comandos y no se muestran en los ejemplos proporcionados en este artículo.

  • detect:detecte automáticamente la organización. Valores aceptados: false, true. El valor predeterminado es true.
  • org: Azure DevOps url de la organización. Puede configurar la organización predeterminada mediante az devops configure -d organization=ORG_URL. Obligatorio si no está configurado como predeterminado o se selecciona a través de la configuración de Git. Ejemplo: --org https://dev.azure.com/MyOrganizationName/ .

Creación de un grupo de seguridad

Puede crear un grupo de seguridad con el comando az devops security group create.

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parámetros opcionales

  • description:descripción del nuevo grupo de seguridad.
  • email-id:cree un nuevo grupo con la dirección de correo electrónico como referencia a un grupo existente de un Azure Active Directory con respaldo. Obligatorio si falta nameo origin-id.
  • groups:lista separada por comas de descriptores que hacen referencia a grupos a los que desea que se una el grupo recién creado.
  • name:nombre del nuevo grupo de seguridad. Obligatorio si falta origin-ido email-id.
  • origin-id:cree un nuevo grupo mediante OriginID como referencia a un grupo existente desde un proveedor Azure AD con respaldo. Obligatorio si falta nameo email-id.
  • project:nombre o identificador del proyecto en el que se debe crear el grupo.
  • ámbito:cree un grupo en el nivel de proyecto u organización. Los valores aceptados son organización y proyecto (valor predeterminado).

Ejemplo

El comando siguiente crea el grupo de seguridad Administración de cuentas en el proyecto MyFirstProject y muestra el resultado en formato de tabla.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Eliminar un grupo de seguridad

Puede eliminar un grupo de seguridad con el comando az devops security group delete.

az devops security group delete --id
                                [--yes]

Parámetros

Ejemplo

El comando siguiente elimina el grupo de seguridad con el descriptor especificado y no solicita confirmación.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Enumeración de grupos de seguridad

Puede enumerar todos los grupos de seguridad de un proyecto u organización con el comando az devops security group list.

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parámetros opcionales

  • continuation-token:si hay más resultados que no se pueden devolver en una sola página, el conjunto de resultados contendrá un token de continuación para la recuperación del siguiente conjunto de resultados.
  • project:enumera los grupos de un proyecto determinado.
  • scope:enumera los grupos en el nivel de proyecto u organización. Los valores aceptados son organización y proyecto (valor predeterminado).
  • subject-types:una lista separada por comas de subtipos de asunto de usuario para reducir los resultados recuperados. Puede proporcionar la parte inicial del descriptor (antes del punto) como filtro, por ejemplo, vssgp,aadgp.

Ejemplo

El comando siguiente muestra el nombre y el descriptor de todos los grupos de seguridad de MyFirstProjecty muestra los resultados en formato de tabla.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Mostrar detalles del grupo de seguridad

Puede mostrar los detalles de un grupo de seguridad con el comando az devops security group show.

az devops security group show --id

Parámetros

  • id:obligatorio. Descriptor del grupo de seguridad.

Ejemplo

El comando siguiente muestra los detalles del grupo de seguridad Project usuarios válidos en formato de tabla.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Actualización de un grupo de seguridad

Puede actualizar el nombre y la descripción de un grupo de seguridad con el comando az devops security group update.

az devops security group update --id
                                [--description]
                                [--name]

Parámetros

  • id:obligatorio. Descriptor del grupo de seguridad.
  • description:opcional. Nueva descripción del grupo de seguridad. Obligatorio si falta el nombre.
  • name: opcional. Nuevo nombre para el grupo de seguridad. Obligatorio si falta la descripción.

Ejemplo

El comando siguiente cambia el nombre del grupo de seguridad con el descriptor especificado y muestra el resultado en formato YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Agregar un miembro a un grupo

Puede agregar un miembro a un grupo de seguridad con el comando az devops security group membership add.

az devops security group membership add --group-id
                                        --member-id

Parámetros

  • group-id:requerido. Descriptor del grupo al que se va a agregar el miembro.
  • member-id:requerido. Descriptor del grupo o la dirección de correo electrónico del usuario que se va a agregar.

Ejemplo

El comando siguiente agrega el usuario al grupo de seguridad especificado y contoso@contoso.com muestra los resultados en formato de tabla.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Enumeración de pertenencias para un grupo o usuario

Puede enumerar las pertenencias de un grupo o usuario con el comando az devops security group membership list.

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parámetros

  • id:obligatorio. Descriptor de grupo de seguridad o dirección de correo electrónico del usuario cuyos detalles de pertenencia son necesarios.
  • relationship: opcional. Obtenga información de miembros de o miembros del grupo. Los valores aceptados son memberof y members.

Ejemplos

El comando siguiente enumera los miembros del grupo de seguridad especificado y muestra los resultados en formato de tabla.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Este es otro ejemplo en el que se enumeran los miembros del equipo de correo electrónico para el proyecto Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Quitar un miembro de un grupo

Puede quitar un miembro de un grupo de seguridad con el comando az devops security group membership remove.

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parámetros

  • group-id:requerido. Descriptor del grupo del que se debe quitar el miembro.
  • member-id:requerido. Descriptor del grupo o la dirección de correo electrónico del usuario que se va a quitar.
  • sí:opcional. No solicite confirmación.

Ejemplo

El comando siguiente quita al usuario del grupo de seguridad contoso@contoso.com especificado sin pedir confirmación.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes