Concedere o limitare l'accesso usando le autorizzazioni

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

È possibile concedere o limitare l'accesso alle risorse gestite in Azure DevOps. È possibile aprire o chiudere l'accesso a un set selezionato di funzionalità e a un set selezionato di utenti. Anche se i gruppi di sicurezza predefiniti forniscono un set standard di assegnazioni di autorizzazioni, potrebbero essere necessari requisiti di sicurezza aggiuntivi non soddisfatti da queste assegnazioni.

Se non si ha di nuovo l'amministrazione di autorizzazioni e gruppi, vedere Introduzione alle autorizzazioni,all'accesso e ai gruppi di sicurezza per informazioni sugli stati di autorizzazione e sull'ereditarietà.

In questo articolo si apprenderà come eseguire le attività seguenti:

  • Metodo consigliato per concedere e limitare le autorizzazioni
  • Delegare le attività assegnando autorizzazioni di selezione a ruoli specifici
  • Limitare la visibilità alle informazioni dell'organizzazione
  • Limitare la selezione utenti a utenti e gruppi del progetto
  • Limitare l'accesso per visualizzare o modificare gli oggetti
  • Limitare la modifica degli elementi di lavoro in base a un utente o a un gruppo
  • Metodo consigliato per concedere e limitare le autorizzazioni
  • Delegare le attività assegnando autorizzazioni di selezione a ruoli specifici
  • Limitare l'accesso per visualizzare o modificare gli oggetti
  • Limitare la modifica degli elementi di lavoro in base a un utente o a un gruppo

Suggerimento

Poiché si impostano molte autorizzazioni a livello di oggetto, ad esempio repository e percorsi di area, la struttura del progetto determina le aree che è possibile aprire o chiudere.

Ai fini della manutenzione, è consigliabile usare i gruppi di sicurezza predefiniti o i gruppi di sicurezza personalizzati per gestire le autorizzazioni.

Non è possibile modificare le impostazioni di autorizzazione per il gruppo Project Administrators o il gruppo Project Collection Administrators, ovvero per impostazione predefinita. Tuttavia, per tutti gli altri gruppi, è possibile modificare le autorizzazioni.

Se si gestisce un numero ridotto di utenti, è possibile che la modifica delle singole autorizzazioni sia un'opzione valida. Tuttavia, i gruppi di sicurezza personalizzati consentono di tenere traccia meglio dei ruoli e delle autorizzazioni assegnati a tali ruoli.

Delegare attività a ruoli specifici

In qualità di amministratore o proprietario dell'account, è buona idea delegare le attività amministrative ai membri del team che gestiscono o gestiscono un'area. Alcuni dei ruoli predefiniti principali con autorizzazioni predefinite e assegnazioni di ruolo sono:

  • Lettori
  • Autori di contributi
  • Amministratore del team (ruolo)
  • Project Administrators
  • Project Collection Administrators

Per un riepilogo delle autorizzazioni per i ruoli precedenti, vedere Autorizzazionipredefinite e accesso oppure per gli amministratori della raccolta Project, vedere Aggiungere amministratori

Per delegare le attività ad altri membri all'interno dell'organizzazione, è consigliabile creare un gruppo di sicurezza personalizzato e quindi concedere le autorizzazioni come indicato nella tabella seguente.

Ruolo

Attività da eseguire

Autorizzazioni da impostare su Consenti

Lead di sviluppo (Git)

Gestire i criteri dei rami

Modificare i criteri, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del ramo.

Development lead (TFVC)

Gestire repository e rami

Amministrare le etichette, gestire il ramo e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository TFVC.

Progettista software (Git)

Gestire i repository

Creare repository, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository Git

Amministratori del team

Aggiungere percorsi di area per il team
Aggiungere query condivise per il team

Creare nodi figlio, Eliminare questo nodo, Modificare questo nodo Vedere Creare nodi figlio, modificare gli elementi di lavoro in un percorso area
Collaborazione, eliminazione, gestione delle autorizzazioni (per una cartella di query), vedere Impostare le autorizzazioni per le query.

Autori di contributi

Aggiungere query condivise in una cartella di query, Contribuire ai dashboard

Contribuire, eliminare (per una cartella di query), vedere Impostare le autorizzazioni per le query
Visualizzare, modificare e gestire i dashboard, vedere Impostare le autorizzazioni del dashboard.

Project o product manager

Aggiungere percorsi di area, percorsi di iterazione e query condivise
Eliminare e ripristinare elementi di lavoro, Spostare elementi di lavoro da questo progetto, Eliminare definitivamente gli elementi di lavoro

Modificare le informazioni a livello di progetto, vedere Aggiungere amministratori, impostare le autorizzazionia livello di progetto o di raccolta di progetti.

Gestione modelli di processo(modello di processo di ereditarietà)

Personalizzazione del rilevamento del lavoro

Amministrare le autorizzazioni di processo, Creare nuovi progetti, Crea processo, Elimina campo dall'account, Processo di eliminazione, Elimina progetto, Modifica processo
Vedere Aggiungere amministratori e impostare le autorizzazioni a livello di progetto o di raccolta di progetti.

Gestione modelli di processo(modello di processo XML ospitato)

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di raccolta, vedere Aggiungere amministratori, impostare autorizzazionia livello di progetto o di raccolta di progetti.

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di progetto, vedere Aggiungere amministratori, impostare le autorizzazionia livello di progetto o di raccolta di progetti.

Gestione autorizzazioni

Gestire le autorizzazioni per un progetto, un account o una raccolta

Per un progetto, modificare le informazioni a livello di progetto
Per un account o una raccolta, modificare le informazioni a livello di istanza (o a livello di raccolta)
Per comprendere l'ambito di queste autorizzazioni, vedere Guida alla ricerca di autorizzazioni. Per concedere le autorizzazioni, vedere Aggiungere amministratori, impostare le autorizzazioni alivello di progetto o di raccolta di progetti.

È anche possibile concedere le autorizzazioni per gestire le autorizzazioni per gli oggetti seguenti:

Limitare la visibilità alle informazioni sull'organizzazione e sul progetto

Per impostazione predefinita, gli utenti aggiunti a un'organizzazione possono visualizzare tutte le informazioni e le impostazioni dell'organizzazione e del progetto. Per limitare l'accesso solo ai progetti a cui si aggiungono utenti, è possibile abilitare la funzionalità di anteprima Limita visibilità utente per i progetti per l'organizzazione. Per abilitare questa funzionalità, vedere Gestire o abilitare le funzionalità.

Con questa funzionalità abilitata, gli utenti aggiunti al gruppo utenti con ambito Project non possono visualizzare la maggior parte delle impostazioni dell'organizzazione e possono connettersi solo ai progetti a cui sono stati aggiunti.

Limitare la selezione utenti a utenti e gruppi del progetto

Per le organizzazioni che gestiscono gli utenti e i gruppi usando Azure Active Directory (Azure AD), le selezione utenti forniscono supporto per la ricerca di tutti gli utenti e i gruppi aggiunti a Azure AD, non solo quelli aggiunti a un progetto. Le selezione utenti supportano le funzioni Azure DevOps seguenti:

  • Selezione di un'identità utente da un campo di identità di rilevamento del lavoro, ad esempio Assegnato a
  • Selezione di un utente o di un gruppo usando @mention in una discussione di elementi di lavoro o in un campo RTF, una discussione di richiesta pull, commenti di commit o commenti sull'insieme di modifiche o sugli shelveset
  • Selezione di un utente o di un gruppo usando @mention da una pagina wiki

Come illustrato nell'immagine seguente, è sufficiente iniziare a digitare in una casella di selezione utenti fino a trovare una corrispondenza con un nome utente o un gruppo di sicurezza.

Screenshot della selezione utenti

Gli utenti e i gruppi aggiunti al gruppo utenti con ambito Project possono visualizzare e selezionare solo gli utenti e i gruppi nel progetto a cui sono connessi da una selezione utenti. Per limitare l'ambito delle selezioni per tutti i membri del progetto, vedere Gestire il progetto, Limitare la ricerca e la selezione di identità.

Limitare l'accesso per visualizzare o modificare gli oggetti

Azure DevOps è progettato per consentire a tutti gli utenti validi di visualizzare tutti gli oggetti definiti nel sistema. È possibile limitare l'accesso alle risorse impostando lo stato dell'autorizzazione su Nega. È possibile impostare le autorizzazioni per i membri che appartengono a un gruppo di sicurezza personalizzato o per un singolo utente. Per altre informazioni su come impostare questi tipi di autorizzazioni, vedere Modificare le singole autorizzazioni e concedere l'accesso select a funzioni specifiche.

Area da limitare

Autorizzazioni da impostare su Nega

Visualizzare o contribuire a un repository

Visualizzare, contribuire
Vedere Impostare le autorizzazioni del repository Git o Impostare le autorizzazioni del repository TFVC.

Visualizzare, creare o modificare elementi di lavoro all'interno di un percorso area

Modifica elementi di lavoro in questo nodo, Visualizza elementi di lavoro in questo nodo
Vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Modificare gli elementi di lavoro in un percorso area.

Visualizzare o aggiornare pipeline di compilazione e versione selezionate

Modificare la pipeline di compilazione, Visualizzare la pipeline di compilazione
Modificare la pipeline di versione, visualizzare la pipeline di versione
Queste autorizzazioni vengono impostate a livello di oggetto. Vedere Impostare le autorizzazioni di compilazione e versione.

Modificare un dashboard

Visualizzare i dashboard
Vedere Impostare le autorizzazioni del dashboard.

Limitare la modifica degli elementi di lavoro o selezionare i campi

Per esempi che illustrano come limitare la modifica degli elementi di lavoro o selezionare i campi, vedere Scenari di regole di esempio.

Passaggi successivi