Engedélyek kezelése parancssori eszközzel

Azure DevOps Services

Az engedélyek hozzáférést biztosítanak egy adott erőforrás adott műveletének végrehajtásához az engedélyek, a hozzáférés és a biztonsági csoportok használatának első lépéseiben leírtak szerint. A legtöbb engedélyt a webes portálon kezelheti. Az engedélyeket azonban parancssori eszközökkel vagy a REST API-val is kezelheti.

Az Azure DevOps alapértelmezés szerint számos engedélyt biztosít az alapértelmezett biztonsági csoportok tagjainak. A parancsokkal az devops security permission részletesebben is hozzáadhat és kezelhet engedélyeket. A következő parancsokkal:

• A biztonsági névterekhez társított engedélyek megtekintése
• Az engedélyek részleteinek megtekintése
• Engedélyek frissítése vagy alaphelyzetbe állítása

Feljegyzés

A névterek és jogkivonatok az Azure DevOps minden verziójára érvényesek. Az itt felsoroltak az Azure DevOps 2019-ben és újabb verzióiban érvényesek. A névterek idővel változhatnak. A névterek legújabb listájának lekéréséhez használja az egyik parancssori eszközt vagy a REST API-t. Egyes névterek elavultak a biztonsági névtérben és az engedélyhivatkozásban, az elavult és írásvédett névterekben felsoroltak szerint.

Előfeltételek

• A jogkivonatok és névterek kezeléséhez a Project Collection Rendszergazda istrators biztonsági csoport tagjának kell lennie. További információ a jogkivonatokról: Biztonsági névtér és engedélyhivatkozás.
• Telepítenie kell az Azure DevOps CLI-bővítményt az Azure DevOps CLI használatának első lépéseiben leírtak szerint.
• Jelentkezzen be az Azure DevOpsba a .az login
• A cikkben szereplő példák esetében állítsa be az alapértelmezett szervezetet az alábbiak szerint:
  • Az Azure DevOps Services esetében: az devops configure --defaults organization=YourOrganizationURL.
  • Azure DevOps Server esetén:az devops configure --defaults organization=https://ServerName/CollectionName

Biztonsági engedély parancsai

Az összes elérhető parancs listázásához írja be a következő parancsot.

az devops security permission -h

A biztonsági engedélyekkel kapcsolatos fogalmakkal kapcsolatos további információkért tekintse meg a Security REST API dokumentációját

Parancs	Leírás
az devops security permission list	A megadott felhasználó vagy csoport és névtér jogkivonatainak listázása.
az devops security permission namespace list	A szervezet összes elérhető névterének listázása.
az devops security permission namespace show	Az egyes névterekben elérhető engedélyek részleteinek megjelenítése.
az devops security permission reset	A megadott engedélybit(ek) engedélyének alaphelyzetbe állítása.
az devops security permission reset-all	Törölje a jogkivonat összes engedélyét egy felhasználó vagy csoport számára.
az devops security permission show	A megadott jogkivonatra, névtérre és felhasználóra vagy csoportra vonatkozó engedélyek megjelenítése.
az devops security permission update	Engedélyek hozzárendelése adott felhasználóhoz vagy csoporthoz.

Az alábbi paraméterek nem kötelezőek az összes parancshoz, és nem szerepelnek a cikkben ismertetett példákban.

• észlelés: Automatikusan észleli a szervezetet. Elfogadott értékek: hamis, igaz. Alapértelmezett érték: true (igaz).
• org: Azure DevOps-szervezet URL-címe. Az alapértelmezett szervezetet az az devops configure -d organization=ORG_URL használatával konfigurálhatja. Kötelező, ha nincs alapértelmezettként konfigurálva, vagy git-konfiguráción keresztül veszi fel. Példa: --org https://dev.azure.com/MyOrganizationName/.

Biztonsági névterek listázása

A szervezet összes elérhető névterét az az devops security permission namespace list paranccsal listázhatja. Az összes biztonsági névtér és kapcsolódó jogkivonat leírását a Biztonsági névtér és az engedélyhivatkozás című témakörben talál.

az devops security permission namespace list [--local-only]

Paraméterek

• csak helyi: Nem kötelező. Ha igaz, csak a helyi biztonsági névtereket kérje le.

  Előfordulhat, hogy a biztonsági névterek adatai egy mikroszolgáltatásban vannak elsajátítva, de más mikroszolgáltatásokban továbbra is láthatók. Ha egy biztonsági névtér adatai az X mikroszolgáltatásban lesznek elsajátítva, a rendszer azt mondja, hogy az adott mikroszolgáltatás helyi. Ellenkező esetben azt mondják, hogy távoli.

Adja meg az devops security permission namespace list a szervezethez vagy a helyszíni kiszolgálóhoz definiált névtereket.

Feljegyzés

A felsorolt névterek némelyike elavult, ezért nem használható. Az elavult névterek listájáért tekintse meg a névtérre vonatkozó hivatkozást, az elavult és írásvédett névtereket.

az devops security permission namespace list --org https://dev.azure.com/OrganizationName --output table
 
Id                                    Name
------------------------------------  ------------------------------
c788c23e-1b46-4162-8f5e-d7585343b5de  ReleaseManagement
58450c49-b02d-465a-ab12-59ae512d6531  Analytics
d34d3680-dfe5-4cc6-a949-7d9c68f73cba  AnalyticsViews
62a7ad6b-8b8d-426b-ba10-76a7090e94d5  PipelineCachePrivileges
7c7d32f7-0e86-4cd6-892e-b35dbba870bd  ReleaseManagement
a6cc6381-a1ca-4b36-b3c1-4e65211e82b6  AuditLog
5a27515b-ccd7-42c9-84f1-54c998f03866  Identity
445d2788-c5fb-4132-bbef-09c4045ad93f  WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba  DistributedTask
71356614-aad7-4757-8f2c-0fb3bff6f680  WorkItemQueryFolders
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87  Git Repositories
3c15a8b7-af1a-45c2-aa97-2cb97078332e  VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f  EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23  WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c  ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046  ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18  Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7  Collection
cb4d56d2-e84b-457e-8845-81320a133fbb  Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8  Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02  Process
11238e09-49f2-40c7-94d0-8f0307204ce4  AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb  Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20  Environment
52d39943-cb85-4d7f-8fa8-c6baac873819  Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b  EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3  CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1  TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67  ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2  Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436  MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1  Iteration
fa557b48-b5bf-458a-bb2b-1b680426fe8b  Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c  Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e  Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b  ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999  Job
73e71c45-d483-40d5-bdba-62fd076f7f87  WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3  StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400  Server
e06e1c24-e93d-4e4a-908a-7d951187b483  TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418  SettingEntries
302acaca-b667-436d-a946-87133492041c  BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f  Location
83abde3a-4593-424e-b45f-9898af99034d  UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce  WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6  WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3  VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c  Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63  CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0  WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12  Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877  BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956  DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd  Social
9a82c708-bfbe-4f31-984c-e860c2196781  Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1  IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729  ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9  Build
8adf73b7-389a-4276-b638-fe1653f7efc7  DashboardsPrivileges
a39371cf-0841-4c16-bbd3-276e341bc052  VersionControlItems

Példa: Helyi biztonsági névterek listázása

Az alábbi parancs csak a szervezet helyi biztonsági névtereit sorolja fel, és táblaformátumban jeleníti meg az eredményeket.

az devops security permission namespace list --local-only --output table

Id                                    Name
------------------------------------  ------------------------------
71356614-aad7-4757-8f2c-0fb3bff6f680  WorkItemQueryFolders
fa557b48-b5bf-458a-bb2b-1b680426fe8b  Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c  Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e  Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b  ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999  Job
73e71c45-d483-40d5-bdba-62fd076f7f87  WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3  StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400  Server
e06e1c24-e93d-4e4a-908a-7d951187b483  TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418  SettingEntries
302acaca-b667-436d-a946-87133492041c  BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f  Location
83abde3a-4593-424e-b45f-9898af99034d  UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce  WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6  WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3  VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c  Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63  CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0  WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12  Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877  BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956  DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd  Social
9a82c708-bfbe-4f31-984c-e860c2196781  Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1  IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729  ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9  Build
8adf73b7-389a-4276-b638-fe1653f7efc7  DashboardsPrivileges
445d2788-c5fb-4132-bbef-09c4045ad93f  WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba  DistributedTask
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87  Git Repositories
a39371cf-0841-4c16-bbd3-276e341bc052  VersionControlItems
3c15a8b7-af1a-45c2-aa97-2cb97078332e  VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f  EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23  WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c  ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046  ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18  Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7  Collection
cb4d56d2-e84b-457e-8845-81320a133fbb  Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8  Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02  Process
11238e09-49f2-40c7-94d0-8f0307204ce4  AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb  Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20  Environment
52d39943-cb85-4d7f-8fa8-c6baac873819  Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b  EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3  CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1  TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67  ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2  Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436  MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1  Iteration

Biztonsági névtér jogkivonatainak listázása

A megadott névtér és felhasználó vagy csoport jogkivonatait az az devops biztonsági engedélylista paranccsal listázhatja.

az devops security permission list --id
                                   --subject
                                   [--recurse]
                                   [--token]

Paraméterek

• • id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója. Az azonosító beszerzéséhez használja az az devops biztonsági engedély névtérlista parancsát.
• tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
• recurse: Nem kötelező. Ha igaz, és a névtér hierarchikus, ez a paraméter a jogkivonatok gyermek ACL-jeit adja vissza.
• token: Nem kötelező. Adjon meg egy egyéni biztonsági jogkivonatot.

Példa

Az alábbi parancs a megadott névtér táblaformátumú jogkivonatait sorolja fel, amelyek az Analyticsnek felelnek meg, és a felhasználóhoz contoso@contoso.comtartoznak.

az devops security permission list --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --output table

Token                                   Effective Allow    Effective Deny
--------------------------------------  -----------------  ----------------
$/0611925a-b287-4b0b-90a1-90f1a96e9f1f  0                  0
$/087572e2-5569-49ec-af80-d3caf22b446c  0                  0
$/131271e0-a6ad-49ba-837e-2d475ab2b169  0                  0
$/14c92f9d-9fff-48ec-8171-9d1106056ab3  0                  0
$/1965830d-5fc4-4412-8c71-a1c39c939a42  0                  0
$/4b80d122-a5ca-46ec-ba28-e03d37e53404  0                  0
$/4fa8e9de-e86b-4986-ac75-f421881a7664  0                  0
$/5417a1c3-4b04-44d1-aead-50774b9dbf5f  0                  0
$/56af920d-393b-4236-9a07-24439ccaa85c  0                  0
$/69265579-a1e0-4a30-a141-ac9e3bb82572  0                  0

Névtér részleteinek megjelenítése

Az az devops security permission namespace show paranccsal megjelenítheti az egyes névterekben elérhető engedélyek részleteit.

az devops security permission namespace show --namespace-id <NAMESPACE_ID>

Paraméterek

• id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.

Példa

Az alábbi parancs a megadott névtérazonosítóhoz elérhető engedélyek részleteit mutatja be, és táblaformátumban adja vissza az eredményeket.

az devops security permission namespace show --namespace-id 58450c49-b02d-465a-ab12-59ae512d6531 --output table

Name                      Permission Description                                    Permission Bit
------------------------  --------------------------------------------------------  ----------------
Read                      View analytics                                            1
Administer                Manage analytics permissions                              2
Stage                     Push the data to staging area                             4
ExecuteUnrestrictedQuery  Execute query without any restrictions on the query form  8
ReadEuii                  Read EUII data                                            16

Engedélyek visszaállítása

Egy adott felhasználó vagy csoport engedélybitjei az az devops security permission reset paranccsal állíthatók vissza .

az devops security permission reset --id
                                    --permission-bit
                                    --subject
                                    --token

Paraméterek

• id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
• engedély-bit: Kötelező. Engedélybitek vagy engedélybitek hozzáadása, amelyeket vissza kell állítani egy adott felhasználóhoz vagy csoporthoz és jogkivonathoz.
• tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
• token: Kötelező. Egyéni biztonsági jogkivonat.

Példa

Az alábbi parancs visszaállítja egy jogkivonat 8. engedélybitjét a megadott névtérben lévő felhasználó contoso@contoso.com számára, és táblaformátumban adja vissza az eredményeket.

az devops security permission reset --id 58450c49-b02d-465a-ab12-59ae512d6531 --permission-bit 8 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table

Name                      Bit    Permission Description                                    Permission Value
------------------------  -----  --------------------------------------------------------  ------------------
ExecuteUnrestrictedQuery  8      Execute query without any restrictions on the query form  Not set

Az összes engedély alaphelyzetbe állítása

A jogkivonatok összes engedélyét törölheti egy felhasználó vagy csoport számára az az devops security permission reset-all paranccsal.

az devops security permission reset-all --id
                                        --subject
                                        --token
                                        [--yes]

Paraméterek

• id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
• tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
• token: Kötelező. Egyéni biztonsági jogkivonat.
• Igen: Nem kötelező. Ne kérje a megerősítést.

Példa

Az alábbi parancs megerősítés nélkül törli a felhasználó contoso@contoso.com összes engedélyét a megadott névtérben. Az eredmény megjelenik a parancssori felületen.

az devops security permission reset-all --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --yes --output table

Result
--------
True

Engedélyek megjelenítése

A megadott jogkivonat, névtér és felhasználó vagy csoport engedélyeit az az devops biztonsági engedélymegjelenítési paranccsal jelenítheti meg .

az devops security permission show --id
                                   --subject
                                   --token

Paraméterek

• id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
• tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
• token: Kötelező. Egyéni biztonsági jogkivonat.

Példa

Az alábbi parancs egy jogkivonat engedélyadatait jeleníti meg a megadott névtérben lévő felhasználó contoso@contoso.com számára, és táblaformátumban adja vissza az eredményeket.

az devops security permission show --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table

Name                      Bit    Permission Description                                    Permission Value
------------------------  -----  --------------------------------------------------------  ------------------
Read                      1      View analytics                                            Not set
Administer                2      Manage analytics permissions                              Allow
Stage                     4      Push the data to staging area                             Not set
ExecuteUnrestrictedQuery  8      Execute query without any restrictions on the query form  Not set
ReadEuii                  16     Read EUII data                                            Deny

Engedélyek frissítése

Az az devops biztonsági engedélyfrissítési paranccsal engedélyezheti vagy megtagadhatja az engedélyeket egy adott felhasználóhoz vagy csoporthoz.

az devops security permission update --id
                                     --subject
                                     --token
                                     [--allow-bit]
                                     [--deny-bit]
                                     [--merge {false, true}]

Paraméterek

• id vagy namespace-id: Kötelező. A biztonsági névtér azonosítója.
• tárgy: Kötelező. A felhasználó e-mail-címe vagy csoportleírója.
• token: Kötelező. Egyéni biztonsági jogkivonat.
• allow-bit: Nem kötelező. Bitek vagy bitek hozzáadásának engedélyezése. Kötelező, ha hiányzik a --deny-bit .
• deny-bit: Nem kötelező. Bitek vagy bitek hozzáadása megtagadása. Kötelező, ha hiányzik az --allow-bit .
• egyesítés: Nem kötelező. Ha be van állítva, a meglévő hozzáférés-vezérlési bejegyzés (ACE) engedélyezi és megtagadja a bejövő ACE engedélyezését és elutasítását. Ha a feloldás nem történik meg, a meglévő ACE elmozdul. Az elfogadott értékek hamisak vagy igazak.

Példa

Az alábbi parancs frissíti az ExecuteUnrestrictedQuery (8. bit) engedélyeit a felhasználó contoso@contoso.com számára a megadott névtérben, és táblaformátumban jeleníti meg az eredményeket.

az devops security permission update --allow-bit 8 --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 56af920d-393b-4236-9a07-24439ccaa85c --output table

Name                      Bit    Permission Description                                    Permission Value
------------------------  -----  --------------------------------------------------------  ------------------
ExecuteUnrestrictedQuery  8      Execute query without any restrictions on the query form  Allow

Biztonsági névterek és azonosítóik

Tekintse meg az Azure DevOps biztonsági névterét és engedélyreferenciáit.

Kapcsolódó cikkek

• Biztonsági névtér és engedélyhivatkozás
• Biztonsági névterek REST API
• A TFSSecurity parancssori eszköz használata