Solución de problemas de acceso y permisos
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013
Azure DevOps estructura de seguridad y permisos es amplia, por lo que es posible que tenga que investigar por qué usted o un miembro del proyecto no tienen acceso a un proyecto, servicio o característica que esperan tener. Busque instrucciones paso a paso para comprender y solucionar los problemas que un miembro del proyecto puede tener al conectarse a un proyecto o al acceder a un servicio Azure DevOps o característica.
Antes de usar esta guía, se recomienda que esté familiarizado con el contenido siguiente:
- Introducción a los permisos, el acceso y los grupos de seguridad
- Permisos predeterminados y referencia rápida de acceso.
- Índice de referencia rápida para Azure DevOps seguridad
Sugerencia
Al crear un grupo de Azure DevOps seguridad, rótelo de una manera que sea fácil de distinguir si se crea para limitar el acceso.
Los permisos se establecen en uno de los niveles siguientes:
- nivel de objeto
- nivel de proyecto
- nivel de recopilación de organización o proyecto
- rol de seguridad
- rol de administrador de equipo
Problemas comunes de acceso y permisos
Vea las siguientes razones más comunes por las que un miembro del proyecto no puede acceder a un proyecto, servicio o característica:
| Problema | Acción de solución de problemas |
|---|---|
| Su nivel de acceso no admite el acceso al servicio o a la característica. | Para averiguar si esta es la causa, desea determinar el nivel de acceso y el estado de la suscripción del usuario. |
| Su pertenencia a un grupo de seguridad no admite el acceso a una característica o se les ha denegado explícitamente el permiso para una característica. | Para detectar si esta es la causa, haga un seguimiento de un permiso. |
| Recientemente se ha concedido permiso al usuario, pero se requiere una actualización para que el cliente reconozca los cambios. | Hacer que el usuario actualice o vuelva a evaluar sus permisos. |
| El usuario está intentando ejercer una característica que solo se concede a un administrador de equipo para un equipo específico, pero no se le ha concedido ese rol. | Para agregarlos al rol, consulte Agregar, quitar administrador de equipo. |
| El usuario no ha habilitado una característica en versión preliminar. | Haga que el usuario abra las características en versión preliminar y determine el estado de encendido y apagado de la característica específica. Para más información, consulte Administración de características en versión preliminar. |
| Project miembro se ha agregado a un grupo de seguridad de ámbito limitado, como el grupo Project-Scoped usuarios. | Para detectar si se trata de una causa, busque las pertenencias a grupos de seguridad del usuario. |
Problemas de acceso y permisos menos comunes
Las razones menos comunes para el acceso limitado son cuando se ha producido uno de los siguientes eventos:
| Problema | Acción de solución de problemas |
|---|---|
| Un administrador de proyectos deshabilitó un servicio. En este caso, nadie tiene acceso al servicio deshabilitado. | Para determinar si un servicio está deshabilitado, vea Activar o desactivar un Azure DevOpsservicio. |
| Un Project de recopilación de archivos deshabilitó una característica en versión preliminar, lo que la deshabilita para todos los miembros del proyecto de la organización. | Consulte Administración de características en versión preliminar. |
| Las reglas de grupo que rigen el nivel de acceso o la pertenencia al proyecto del usuario restringen el acceso. | Consulte Determinar el nivel de acceso y el estado de suscripción de un usuario. |
| Las reglas personalizadas se han definido para el flujo de trabajo de un tipo de elemento de trabajo. | vea Reglas aplicadas a un tipo de elemento de trabajo que restringen la operación de selección. |
Determinar el nivel de acceso y el estado de suscripción de un usuario
Puede asignar usuarios o grupos de usuarios a uno de los siguientes niveles de acceso:
- Parte interesada
- Básico
- Básico + Test Plans
- Visual Studio suscripción
Para obtener más información sobre la restricción de nivel de acceso Azure DevOps, vea Niveles de acceso admitidos.
Para usar Azure DevOps características, los usuarios deben agregarse a un grupo de seguridad con los permisos adecuados. Los usuarios también necesitan acceso al portal web. Las limitaciones para seleccionar características se basan en el nivel de acceso y el grupo de seguridad al que se asigna un usuario.
Los usuarios pueden perder el acceso por los siguientes motivos:
| Motivo de la pérdida de acceso | Acción de solución de problemas |
|---|---|
| La suscripción del usuario Visual Studio ha expirado. | Mientras tanto, este usuario puede trabajar comoparte interesada o puede proporcionar al usuario acceso básico hasta que el usuario renueve su suscripción. Una vez que el usuario inicia sesión, Azure DevOps restaura el acceso automáticamente. |
| La suscripción de Azure usada para la facturación ya no está activa. | Todas las compras realizadas con esta suscripción se ven afectadas, incluidas Visual Studio suscripciones. Para corregir este problema, visite el portal de cuentas de Azure. |
| La suscripción de Azure usada para la facturación se quitó de la organización. | Más información sobre la vinculación de la organización |
De lo contrario, el primer día del mes natural, los usuarios que no hayan iniciado sesión en su organización durante más tiempo perderán primero el acceso. Si su organización tiene usuarios que ya no necesitan acceso, quítelos de la organización.
Para obtener más información sobre los permisos, vea Permisos y grupos y la guía de búsqueda de permisos.
Seguimiento de un permiso
Use el seguimiento de permisos para determinar por qué los permisos de un usuario no le permiten acceder a una función o característica específica. Obtenga información sobre cómo un usuario o un administrador pueden investigar la herencia de permisos. Para hacer un seguimiento de un permiso desde el portal web, abra la página de permisos o seguridad del nivel correspondiente. Para obtener más información, vea Cambiar permisos individuales.
Si un usuario tiene problemas de permisos y usa grupos de seguridad predeterminados o grupos personalizados para los permisos, puede investigar de dónde vienen esos permisos mediante nuestro seguimiento de permisos. Los problemas de permisos pueden deberse a cambios retrasados. Los cambios de permisos o pertenencias a grupos Azure AD pueden tardar hasta 1 hora en propagarse por Azure DevOps. Si un usuario tiene problemas que no se resuelven inmediatamente, espere un día para ver si se resuelve. Para obtener más información sobre la administración de usuarios y acceso, consulte Administración de usuarios y acceso en Azure DevOps.
Si un usuario tiene problemas de permisos y usa grupos de seguridad predeterminados o grupos personalizados para los permisos, puede investigar de dónde vienen esos permisos mediante nuestro seguimiento de permisos. Los problemas de permisos pueden deberse a que el usuario no tiene el nivel de acceso necesario.
Los usuarios pueden recibir sus permisos efectivos directamente o a través de grupos.
Complete los pasos siguientes para que los administradores puedan comprender de dónde vienen exactamente esos permisos y ajustarlos según sea necesario.
Seleccione Project Configuración de permisosUsuariosy, a continuación, seleccione el usuario.
Ahora debería tener una vista específica del usuario que muestre los permisos que tienen.
Para hacer un seguimiento de por qué un usuario tiene o no ninguno de los permisos enumerados, seleccione el icono de información junto al permiso en cuestión.
El seguimiento resultante le permite saber cómo heredan el permiso enumerado. A continuación, puede ajustar los permisos del usuario ajustando los permisos que se proporcionan a los grupos en los que se encuentran.
Seleccione Project seguridady,a continuación, escriba el nombre de usuario en el cuadro de filtro.
Ahora debería tener una vista específica del usuario que muestre los permisos que tienen.
Seguimiento de por qué un usuario tiene o no ninguno de los permisos enumerados. Mantenga el puntero sobre el permiso y, a continuación, elija Por qué.
El seguimiento resultante le permite saber cómo heredan el permiso enumerado. A continuación, puede ajustar los permisos del usuario ajustando los permisos que se proporcionan a los grupos en los que se encuentran.
Vaya a la página Seguridad del proyecto en el que el usuario tiene problemas de acceso.
Escriba su nombre en el cuadro de la esquina superior izquierda.
Debe tener una vista específica del usuario que muestre qué permisos tienen.
Haga un seguimiento de por qué un usuario tiene o no ninguno de los permisos enumerados. Mantenga el puntero sobre el permiso y, a continuación, elija Por qué.
El seguimiento resultante le permite saber cómo heredan el permiso enumerado. A continuación, puede ajustar los permisos del usuario ajustando los permisos proporcionados a los grupos en los que se encuentra.
Para obtener más información, vea Conceder o restringir el acceso para seleccionar características y funciones o Cambiar permisos individuales.
Actualización o reevaluación de permisos
Consulte el siguiente escenario en el que puede ser necesario actualizar o volver a evaluar los permisos.
Problema
Los usuarios se agregan a un grupo Azure DevOps o Azure AD usuario. Esta acción concede acceso heredado a una organización o proyecto. Sin embargo, no obtienen acceso inmediatamente. Los usuarios deben esperar o cerrar sesión, cerrar el explorador y volver a iniciar sesión para actualizar sus permisos.
Los usuarios se agregan a un grupo Azure DevOps usuario. Esta acción concede acceso heredado a una organización o proyecto. Sin embargo, no obtienen acceso inmediatamente. Los usuarios deben esperar o cerrar sesión, cerrar el explorador y volver a iniciar sesión para actualizar sus permisos.
Solución
En Configuración de usuario, en la página Permisos, puede seleccionar Volver a evaluar los permisos. Esta función vuelve a evaluar los permisos y las pertenencias a grupos y, a continuación, los cambios recientes tienen efecto inmediato.
Reglas aplicadas a un tipo de elemento de trabajo que restringen las operaciones de selección
Antes de personalizar un proceso, se recomienda revisar Configurar y personalizar Azure Boards, que proporciona instrucciones sobre cómo personalizar Azure Boards para satisfacer sus necesidades empresariales.
Para obtener más información sobre las reglas de tipo de elemento de trabajo que se aplican a las operaciones de restricción, vea:
- Aplicar reglas a los estados de flujo de trabajo (proceso de herencia)
- Escenarios de reglas de ejemplo
- Definición de rutas de acceso de área y asignación a un equipo
Ocultar la configuración de la organización a los usuarios
Si un usuario se limita a ver solo sus proyectos o a ver la configuración de la organización, la siguiente información puede explicar por qué. Para impedir que los usuarios accedan a la configuración de la organización, puede habilitar la característica de vista previa Limitar visibilidad de usuarios para proyectos.
Algunos ejemplos de usuarios restringidos son las partes interesadas, Azure Active Directory (Azure AD) usuarios invitados o miembros de un grupo de seguridad. Una vez habilitada, cualquier usuario o grupo agregado al grupo usuarios de Project-Scoped tiene restringido el acceso a las páginas de Configuración organización, excepto para Información general y Proyectos. Solo tienen acceso a los proyectos a los que se han agregado.
Algunos ejemplos de usuarios restringidos son las partes interesadas o los miembros de un grupo de seguridad. Una vez habilitada, cualquier usuario o grupo agregado al grupo usuarios de Project-Scoped tiene restringido el acceso a las páginas de Configuración organización, excepto para Información general y Proyectos. Solo tienen acceso a los proyectos a los que se han agregado.
Para obtener más información sobre cómo ocultar la configuración de la organización a los usuarios, vea Acerca de los proyectos, Project grupo de usuarios con ámbito de usuario.
Visualización, adición y administración de permisos con la CLI
Puede ver, agregar y administrar permisos en un nivel más pormenorizados con az devops security permission los comandos. Para obtener más información, vea Administrar permisos con la herramienta de línea de comandos.
Uso de herramientas para corregir el permiso
Puede usar las siguientes herramientas para corregir el problema de permisos de un usuario.
TFSSecurity.exe: TFSSecurity es una herramienta de línea de comandos que se puede usar para ver y actualizar y eliminar permisos o grupos.
Ejemplo de uso:
tfssecurity /a+ Identity "81e4e4b5-bde0-4f2c-a7a5-4d25c2e8a81f\" Read "Project Collection Valid Users" ALLOW /collection:{collectionUrl}tfssecurity /a- Identity "3c7a0a47-27b4-4def-8d42-aab9b405fc8a\" Write n:"[Project1]\Contributors" DENY /collection:{collectionUrl}Uso de la sproc pública
Ejemplo de uso: use o para agregar o quitar ace directamente de las tablas de seguridad si
prc_pSetAccessControlEntryprc_pRemoveAccessControlEntriesTFSSecurity no funciona.
Para obtener más información, vea Usar TFSSecurity para administrar grupos y permisos para Azure DevOps.
Reglas de grupo con permisos menores
Los tipos de reglas de grupo se clasifican en el orden siguiente: Suscriptor > Básico + Test Plans Parte interesada >> básica. Los usuarios siempre obtienen el mejor nivel de acceso entre todas las reglas de grupo, Visual Studio (VS).
Vea los ejemplos siguientes, en los que se muestra cómo los factores de detección de suscriptores se convierten en reglas de grupo.
Ejemplo 1: La regla de grupo me proporciona más acceso
Si tengo una suscripción a VS Pro y estoy en una regla de grupo que me proporciona Basic + Test Plans, ¿qué ocurre?
Se esperaba: se obtiene Basic + Test Plans porque lo que la regla de grupo me proporciona es mayor que mi suscripción. La asignación de reglas de grupo siempre proporciona el mayor acceso, en lugar de limitar el acceso.
Ejemplo 2: La regla de grupo me proporciona el mismo acceso
Tengo una suscripción Visual Studio Test Pro y estoy en una regla de grupo que me proporciona Basic + Test Plans, ¿qué ocurre?
Esperado: se detecta como un suscriptor Visual Studio prueba Pro, porque el acceso es el mismo que el de la regla de grupo. Ya pago por el Visual Studio test Pro, por lo que no quiero volver a pagar.
Trabajar con GitHub
Consulte la siguiente información de solución de problemas para cuando intente implementar código en Azure DevOps con GitHub.
Problema
No puede incorporar el resto del equipo a la organización y el proyecto, a pesar de agregarlos como miembros de la organización y del proyecto. Reciben correos electrónicos, pero al iniciar sesión reciben un error 401.
Solución
Es probable que haya iniciado sesión Azure DevOps con una identidad incorrecta. Complete los siguientes pasos.
Cierre todos los exploradores, incluidos los que no se ejecutan Azure DevOps.
Abra una sesión de exploración privada o de incógnito.
Vaya a la siguiente dirección URL: https://aka.ms/vssignout .
Se muestra un mensaje que indica "Cerrar sesión en curso". Después de cerrar sesión, se le redirigirá a dev.azure.microsoft.com.
Inicie sesión en Azure DevOps nuevo. Seleccione la otra identidad.
Otras áreas en las que se podrían aplicar permisos
- Permisos de ruta de acceso de área
- Etiquetas de elementos de trabajo
- Elementos de trabajo movidos fuera de un proyecto
- Elementos de trabajo eliminados
- Guía rápida de los permisos predeterminados y el acceso para Azure Boards
- Reglas personalizadas
- Escenarios de reglas personalizadas de ejemplo
- Paneles y trabajo pendientes personalizados
- Controles personalizados
Artículos relacionados
- Administración de permisos con la herramienta de línea de comandos
- Cambio de permisos individuales o de grupo
- Herramientas de administración de permisos y seguridad
- Agregar usuarios a una organización (Azure DevOps Services)
- Adición de usuarios a un equipo o un proyecto
- Adición de usuarios a un rol de administrador