Risorse concesse ai membri del progetto

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Un Azure DevOps è un contenitore e un limite di sicurezza per gli asset di sviluppo software: elementi di lavoro, codice, compilazioni e così via. Quando si aggiunge un utente come membro di un progetto, si considera attendibile anche tale utente con alcuni privilegi aggiuntivi. Un membro del progetto ha accesso a risorse a livello di organizzazione e a gruppi aggiuntivi (o ambiti) oltre il progetto. Se un utente non è già membro dell'organizzazione, quando lo si aggiunge a un progetto, gli si concede implicitamente questo accesso aggiuntivo.

Nota

Se la funzionalità di anteprima Limita visibilità utente per i progetti è abilitata per l'organizzazione, gli utenti aggiunti al gruppo utenti con ambito Project non potranno accedere ai progetti a cui non sono stati aggiunti. Per altre informazioni, vedere Informazioni sui progetti e ridimensionamento dell'organizzazione, Project gruppo Users con ambito .

Gruppi e ambiti aggiuntivi

Un membro del progetto appartiene a uno o più gruppi di sicurezza correlati al progetto, ad esempio "Project Valid Users" e "Project Contributors". Tale persona è anche membro di un gruppo a livello di organizzazione noto come "Project utenti validi della raccolta". Inoltre, l'identità di tale persona viene visualizzata nel servizio di gestione delle identità che è a backup dell'organizzazione. Gli account utente supportati da Azure Active Directory possono avere identità native o identità guest,che concedono livelli di accesso diversi.

Risorse a livello di organizzazione

Project membri hanno accesso alle risorse oltre il progetto specifico. Tali risorse includono quelle definite a livello di organizzazione (cloud) o di raccolta di progetti (locale):

  • Informazioni su altri membri, inclusi l'indirizzo di posta elettronica e altri dettagli di contatto, nascoste ai non membri.

  • Area Impostazioni, inclusi i gruppi di sicurezza e le autorizzazioni.

  • Tutte le estensioni installate.

  • Elaborare i metadati di tutti i processi dell'organizzazione, inclusi i tipi di elemento di lavoro, i relativi campi e gli elementi dell'elenco a discesa. Gli elementi dell'elenco a discesa possono mostrare informazioni riservate, ad esempio le date di rilascio, come illustrato nell'immagine seguente:

    Edit field release in feature

  • Quando si usa l'OM del client WIT, che include l'utilizzo dell'integrazione di Excel e Visual Studio, archivia le informazioni riservate in una cache sul disco locale. Questa cache include i metadati di tutti i processi nell'organizzazione e le identità e le appartenenze ai gruppi di tutti i membri dell'organizzazione.

  • Quando un utente viene aggiunto al gruppo Amministratori di compilazione a livello di progetto, può creare pipeline che vengono eseguite con l'ambito della raccolta di progetti (a livello di account). Una pipeline con ambito di raccolta di progetti può accedere alle risorse in un altro progetto, ad esempio i repository Git, che l'utente non può usare. È possibile modificare questa impostazione rimuovendo l'autorizzazione Lettura Project servizio di compilazione raccolta.

Decisione di attendibilità

Queste risorse e gruppi sono necessari per il corretto funzionamento di un membro di un progetto. I collaboratori sono in genere colleghi e altri con cui si ha una relazione esistente. Prima di aggiungere un utente esterno a questo gruppo attendibile, valutare attentamente se deve avere accesso agli elementi menzionati in precedenza.