Aggiungere e gestire gruppi di sicurezza

Azure DevOps Services | Azure DevOps Server 2020

I gruppi di sicurezza vengono usati per gestire le autorizzazioni e l'accesso, come descritto in Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza. Ad esempio, ai membri del gruppo Contributors o Project Administrators vengono assegnate le autorizzazioni consentite per tali gruppi.

Azure DevOps è preconfigurato con gruppi di sicurezza predefiniti. È possibile aggiungere e gestire gruppi di sicurezza per l'organizzazione, una raccolta o un progetto con i comandi az devops security group. Usare questo comando per:

  • Creare un nuovo gruppo di sicurezza
  • Visualizzare i gruppi di sicurezza e i dettagli dei gruppi di sicurezza
  • Aggiornare o eliminare un gruppo di sicurezza
  • Gestire le appartenenze ai gruppi di sicurezza per gruppi e utenti

Nota

Ad Azure DevOps Server, è possibile gestire i gruppi di sicurezza usando il comando documentato in questo articolo o az devops security group il comando TFSSecurity. Per altre informazioni, vedere Comando TFSSecurity.

Prerequisiti

  • Per aggiungere e gestire i gruppi di sicurezza, è necessario essere un membro del gruppo Project di sicurezza Amministratori raccolta.
  • È necessario aver installato l'estensione dell'Azure DevOps dell'interfaccia della riga di comando come descritto in Introduzione all'Azure DevOps'interfaccia della riga di comando.
  • Accedere Azure DevOps usando az login .
  • Per gli esempi di questo articolo, impostare l'organizzazione predefinita come segue:
    • Ad Azure DevOps Services: az devops configure --defaults organization=YourOrganizationURL .
    • Per Azure DevOps Server:az devops configure --defaults organization=https://ServerName/CollectionName

Comandi del gruppo di sicurezza

Comando Descrizione
az devops security group create Creare un Azure DevOps di sicurezza.
az devops security group delete Eliminare un Azure DevOps di sicurezza.
az devops security group list Elencare tutti i gruppi in un progetto o in un'organizzazione.
az devops security group show Mostra i dettagli del gruppo.
az devops security group update Aggiornare il nome e la descrizione per un gruppo di sicurezza.
az devops security group membership add Aggiungere un membro a un gruppo di sicurezza.
az devops security group membership list Elencare le appartenenze per un gruppo o un utente.
az devops security group membership remove Rimuovere un membro da un gruppo di sicurezza.

I parametri seguenti sono facoltativi per tutti i comandi e non sono elencati negli esempi forniti in questo articolo.

  • detect: rileva automaticamente l'organizzazione. Valori accettati: false, true. Il valore predefinito è true.
  • org: URL Azure DevOps'organizzazione. È possibile configurare l'organizzazione predefinita usando az devops configure -d organization=ORG_URL. Obbligatorio se non configurato come predefinito o selezionato tramite git config. Esempio: --org https://dev.azure.com/MyOrganizationName/ .

Creare un gruppo di sicurezza

È possibile creare un gruppo di sicurezza con il comando az devops security group create.

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parametri facoltativi

  • description: Descrizione del nuovo gruppo di sicurezza.
  • email-id: creare un nuovo gruppo usando l'indirizzo di posta elettronica come riferimento a un gruppo esistente da un provider Azure Active Directory supportato. Obbligatorio se il nome o l'ID origine non è presente.
  • groups: elenco delimitato da virgole di descrittori che fanno riferimento ai gruppi a cui si vuole aggiungere il gruppo appena creato.
  • name: nome del nuovo gruppo di sicurezza. Obbligatorio se origin-id o email-id è mancante.
  • origin-id: creare un nuovo gruppo usando OriginID come riferimento a un gruppo esistente da Azure AD provider supportato. Obbligatorio se il nome o l'ID di posta elettronica non è presente.
  • project: nome o ID del progetto in cui deve essere creato il gruppo.
  • scope: creare un gruppo a livello di progetto o di organizzazione. I valori accettati sono organizzazione e progetto (impostazione predefinita).

Esempio

Il comando seguente crea il gruppo di sicurezza Gestione account nel progetto MyFirstProject e mostra il risultato in formato tabella.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Eliminazione di un gruppo di sicurezza

È possibile eliminare un gruppo di sicurezza con il comando az devops security group delete.

az devops security group delete --id
                                [--yes]

Parametri

Esempio

Il comando seguente elimina il gruppo di sicurezza con il descrittore specificato e non richiede conferma.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Elencare i gruppi di sicurezza

È possibile elencare tutti i gruppi di sicurezza in un progetto o un'organizzazione con il comando az devops security group list.

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parametri facoltativi

  • continuation-token: se sono presenti più risultati che non possono essere restituiti in una singola pagina, il set di risultati conterrà un token di continuazione per il recupero del set di risultati successivo.
  • project: elenca i gruppi per un progetto specifico.
  • scope: elencare i gruppi a livello di progetto o di organizzazione. I valori accettati sono organizzazione e progetto (impostazione predefinita).
  • subject-types: elenco delimitato da virgole di sottotipi di soggetto utente per ridurre i risultati recuperati. È possibile assegnare la parte iniziale del descrittore (prima del punto) come filtro, ad esempio vssgp,aadgp.

Esempio

Il comando seguente elenca il nome e il descrittore per tutti i gruppi di sicurezza in MyFirstProject e visualizza i risultati in formato tabella.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Visualizzare i dettagli del gruppo di sicurezza

È possibile visualizzare i dettagli di un gruppo di sicurezza con il comando az devops security group show.

az devops security group show --id

Parametri

  • id: obbligatorio. Descrittore del gruppo di sicurezza.

Esempio

Il comando seguente mostra i dettagli per il gruppo Project di sicurezza Valid Users in formato tabella.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Aggiornare un gruppo di sicurezza

È possibile aggiornare il nome e la descrizione di un gruppo di sicurezza con il comando az devops security group update.

az devops security group update --id
                                [--description]
                                [--name]

Parametri

  • id: obbligatorio. Descrittore del gruppo di sicurezza.
  • description: facoltativo. Nuova descrizione per il gruppo di sicurezza. Obbligatorio se il nome è mancante.
  • name: facoltativo. Nuovo nome per il gruppo di sicurezza. Obbligatorio se manca la descrizione.

Esempio

Il comando seguente modifica il nome del gruppo di sicurezza con il descrittore specificato e visualizza il risultato in formato YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Aggiungere un membro a un gruppo

È possibile aggiungere un membro a un gruppo di sicurezza con il comando az devops security group membership add.

az devops security group membership add --group-id
                                        --member-id

Parametri

  • group-id: obbligatorio. Descrittore del gruppo a cui deve essere aggiunto il membro.
  • member-id: obbligatorio. Descrittore del gruppo o dell'indirizzo di posta elettronica dell'utente da aggiungere.

Esempio

Il comando seguente aggiunge contoso@contoso.com l'utente al gruppo di sicurezza specificato e mostra i risultati in formato tabella.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Elencare le appartenenze per un gruppo o un utente

È possibile elencare le appartenenze per un gruppo o un utente con il comando az devops security group membership list.

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parametri

  • id: obbligatorio. Descrittore del gruppo di sicurezza o indirizzo di posta elettronica dell'utente i cui dettagli di appartenenza sono obbligatori.
  • relationship: facoltativo. Ottiene le informazioni sui membri o per il gruppo. I valori accettati sono memberof e members.

Esempio

Il comando seguente elenca i membri del gruppo di sicurezza specificato e mostra i risultati in formato tabella.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Di seguito è riportato un altro esempio in cui sono elencati i membri del team di posta elettronica per il progetto Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Rimuovere un membro da un gruppo

È possibile rimuovere un membro da un gruppo di sicurezza con il comando az devops security group membership remove.

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parametri

  • group-id: obbligatorio. Descrittore del gruppo da cui rimuovere il membro.
  • member-id: obbligatorio. Descrittore del gruppo o dell'indirizzo di posta elettronica dell'utente da rimuovere.
  • yes: facoltativo. Non richiedere conferma.

Esempio

Il comando seguente rimuove contoso@contoso.com l'utente dal gruppo di sicurezza specificato senza chiedere conferma.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes