Concetti relativi alle chiavi di sicurezza

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Questo articolo fornisce le definizioni per i termini selezionati usati per gestire l'autenticazione e le autorizzazioni per Azure DevOps.

Voci di controllo di accesso

Una voce di controllo di accesso è una voce in un elenco di controllo di accesso (ACL) che concede o nega a un utente o a un gruppo l'accesso a una Azure DevOps risorsa. Per un elenco di spazi dei nomi, ACE e strumenti di gestione, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.

Elenco di controllo di accesso (ACL)

Un elenco di controllo di accesso è un elenco di autorizzazioni associate a un Azure DevOps, ad esempio . Un ACL specifica quali utenti o processi di sistema possono visualizzare, creare, modificare, eliminare o gestire in altro modo gli oggetti. Per un elenco di spazi dei nomi, ACL e strumenti di gestione, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.

Livello di accesso

I livelli di accesso corrispondono a un livello di licenza per fornire l'accesso a determinate funzionalità. L'accesso a queste funzionalità è gestito dall'appartenenza a un livello di accesso. Per altre informazioni, vedere Informazioni sui livelli di accesso.

Log di controllo

I log di controllo contengono molte modifiche che si verificano in un'Azure DevOps di lavoro. Le modifiche si verificano quando un utente o un'identità del servizio all'interno dell'organizzazione modifica lo stato di un elemento, incluse le modifiche alle autorizzazioni. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.

Authentication

L'autenticazione verifica l'identificazione di un utente in base alle credenziali fornite quando accede a un'organizzazione in Azure DevOps. Questi servizi/server in genere si integrano con e si basano sulle funzionalità di sicurezza fornite da servizi aggiuntivi, ad esempio Active Directory o Azure Active Directory. Per altre informazioni, vedere Informazioni su sicurezza, autenticazione e autorizzazione.

Autorizzazione

L'autorizzazione si riferisce alle operazioni eseguite per verificare che l'identità che sta tentando di connettersi a un servizio o a un'istanza del server abbia le autorizzazioni necessarie per accedere a un servizio, una funzionalità, una funzione, un oggetto o un metodo. Per altre informazioni, vedere Informazioni su sicurezza, autenticazione e autorizzazione.

Azure Active Directory Authentication Library

Azure Active Directory Authentication Library (ADAL) versione 1.0 consente agli sviluppatori di applicazioni di autenticare gli utenti in Active Directory (AD) locale o nel cloud e di ottenere token per proteggere le chiamate API.

Importante

A partire dal 30 giugno 2020,non verranno più aggiunti nuove funzionalità ad ADAL e Azure AD Graph. Continueremo a fornire supporto tecnico e aggiornamenti della sicurezza, ma non gli aggiornamenti delle funzionalità. A partire dal 30 giugno 2022,il supporto per ADAL e Azure AD Graph verrà sospeso e non verranno forniti aggiornamenti tecnici o di sicurezza. Le app Azure AD Graph dopo questo periodo di tempo non riceveranno più risposte dall'endpoint Azure AD Graph locale. Le app che usano ADAL nelle versioni esistenti del sistema operativo continueranno a funzionare dopo queste date, ma non otterranno alcun supporto tecnico né aggiornamenti della sicurezza.

Membro di base

Account utente a cui è stata concessa l'appartenenza a un'organizzazione in Azure DevOps con accesso Basic. Per altre informazioni, vedere Informazioni sui livelli di accesso.

Raccolte

Una raccolta è un contenitore per diversi progetti in Azure DevOps. Viene creata una raccolta predefinita quando si esegue l'iscrizione Azure DevOps Services o si installa Team Foundation Server . All Azure DevOps Services, una raccolta corrisponde a un'organizzazione. Per le distribuzioni TFS locali, è possibile aggiungere e gestire raccolte per specificare le risorse logiche e fisiche disponibili per i progetti all'interno della raccolta.

Altre informazioni: Informazioni sui progetti e sul ridimensionamento dell'organizzazione,Gestire le organizzazioni o Gestire raccolte di progetti in Team Foundation Server.

Accesso condizionale

L'accesso condizionale offre il supporto per la protezione Azure DevOps risorse supportate da un tenant Azure Active Directory (Azure AD). Ad esempio, è possibile abilitare l'autenticazione a più fattori per proteggere dal rischio di credenziali compromesse. Per altre informazioni, vedere Gestire l'accesso condizionale Azure DevOps.

Ereditarietà

Le autorizzazioni non consentite o negate direttamente per un utente possono essere ereditate. Per altre informazioni, vedere Introduzione a autorizzazioni, accesso e gruppi di sicurezza.

Microsoft Authentication Library

Microsoft Authentication Library (MSAL) consente agli sviluppatori di applicazioni di acquisire token dal Microsoft Identity Platform per autenticare gli utenti e accedere alle API Web protette. Può essere usato per fornire l'accesso sicuro a Microsoft Graph, ad altre API Microsoft, ad API Web di terze parti o all'API Web. MSAL supporta molte architetture e piattaforme di applicazioni diverse, tra cui .NET, JavaScript, Java, Python, Android e iOS. Per altre informazioni, vedere Panoramica di Microsoft Authentication Library.

Spazio dei nomi

Ogni famiglia di Azure DevOps risorse (elementi di lavoro, repository Git e così via) viene protetta usando uno spazio dei nomi diverso. Ogni spazio dei nomi di sicurezza contiene zero o più ACL. Ogni ACL contiene un token, un flag inherit e un set di zero o più ACE. Ogni ACE contiene un descrittore di identità, una maschera di bit delle autorizzazioni consentite e una maschera di bit per le autorizzazioni negate.

Per un elenco di spazi dei Azure DevOps, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.

OAuth

OAuth 2.0 è un protocollo standard del settore per l'autorizzazione. OAuth 2.0 è supportato per Azure DevOps Services autenticare le API REST. Per altre informazioni, vedere Autorizzare l'accesso alle API REST con OAuth 2.0.

Proprietario dell'organizzazione

Persona che ha creato l'organizzazione o è stata assegnata in un secondo momento come proprietario dell'organizzazione. Il proprietario dell'organizzazione ha accesso a tutte Azure DevOps funzionalità e funzioni e può concedere l'accesso ad altri utenti a funzionalità e funzioni. Per cercare o modificare il proprietario dell'organizzazione, vedere Modificare il proprietario dell'organizzazione.

Token di accesso personale (PAT)

I token di accesso personali sono password alternative che è possibile usare per l'autenticazione Azure DevOps. Per informazioni su come creare e revocare i token pat, vedere Autenticare l'accesso con token di accesso personali.

Autorizzazione

Assegnazione effettuata a un utente o a un gruppo per usare una funzionalità o una funzione. Le autorizzazioni vengono assegnate ai gruppi di sicurezza predefiniti. Per altre informazioni, vedere Introduzione a autorizzazioni, accesso e gruppi di sicurezza.

Stato dell'autorizzazione

Stato assegnato a una funzionalità o funzione all'autorizzazione di un utente o di un gruppo. Gli utenti hanno l'autorizzazione per accedere a una funzionalità se l'autorizzazione è impostata su Consentio Consenti ereditata. Non dispongono dell'autorizzazione quando lo stato è impostato su Deny, Inherited Denyo Not set. Per altre informazioni, vedere Introduzione a autorizzazioni, accesso e gruppi di sicurezza.

Autorizzazioni basate sui ruoli

Modello di sicurezza che limita le azioni in base all'appartenenza a un ruolo e alle autorizzazioni assegnate a tale ruolo. Per altre informazioni, vedere Informazioni su autorizzazioni, accesso e gruppi di sicurezza, Autorizzazioni basate su ruoli.

Gruppo di protezione

Metodo con cui è possibile organizzare utenti e altri oggetti di dominio per semplificare l'amministrazione delle autorizzazioni e dell'accesso. Azure DevOps un certo numero di gruppi di sicurezza predefiniti e la possibilità di creare gruppi personalizzati. Per altre informazioni, vedere Introduzione a autorizzazioni, accesso e gruppi di sicurezza.

Account di servizio

Account usato per monitorare o gestire servizi selezionati, ad esempio servizi di compilazione o test.

Entità servizio

Un'entità servizio è la rappresentazione locale o l'istanza dell'applicazione di un oggetto applicazione globale in un singolo tenant o directory. Quando a un'applicazione viene concesso di accedere alle risorse in un tenant (al momento della registrazione o del consenso), viene creato un oggetto entità servizio. Per altre informazioni, vedere Oggetti applicazione e entità servizio in Azure Active Directory.

Secure Sockets Layer (SSL)

SSL è un protocollo usato per rafforzare la sicurezza delle applicazioni ospitate nel cloud e locali configurando l'uso di Hypertext Transfer Protocol Secure (HTTPS) con Secure Sockets Layer (SSL).

SSL viene sempre usato per proteggere Azure DevOps dati. Per altre informazioni, vedere Panoramica della protezione dati.

Per le distribuzioni locali, SSL è facoltativo. Per altre informazioni, vedere Configurazione di HTTPS con Secure Sockets Layer (SSL) per Team Foundation Server.

Stakeholder

Account utente a cui è stata concessa l'appartenenza a un'organizzazione in un'Azure DevOps con accesso stakeholder. Con l'accesso agli stakeholder è possibile aggiungere e modificare elementi di lavoro, controllare lo stato del progetto, gestire le pipeline e visualizzare e gestire i dashboard. Per altre informazioni, vedere Get started as a Stakeholder (Introduzione come stakeholder).

Gruppo di team

Gruppo di sicurezza definito quando un team viene creato e popolato automaticamente con i membri quando vengono aggiunti al team.

Tenant

Un Azure Active Directory usato per gestire l'accesso o la fatturazione. Per altre informazioni, vedere Modificare Azure AD tenant

Token

I token sono stringhe arbitrarie che rappresentano le risorse in Azure DevOps. Il formato del token è diverso per tipo di risorsa, tuttavia i caratteri di gerarchia e separatore sono comuni tra tutti i token. Per informazioni dettagliate, vedere Sicurezza dell'API REST.

Ogni famiglia di Azure DevOps risorse (elementi di lavoro, repository Git e così via) è protetta usando uno spazio dei nomi diverso. Ogni spazio dei nomi di sicurezza contiene zero o più ACL. Ogni ACL contiene un token, un flag inherit e un set di zero o più ACE. Ogni ACE contiene un descrittore di identità, una maschera di bit delle autorizzazioni consentite e una maschera di bit con autorizzazioni negate.

Ad Azure DevOps Services, è possibile gestire token e spazi dei nomi usando i comandi az devops security permission. Per informazioni dettagliate, vedere Gestire token e spazi dei nomi.

Per Azure DevOps Server, vedere Usare TFSSecurity per gestire gruppi e autorizzazioni per Azure DevOps.

Utenti validi

Gli utenti validi sono utenti riconosciuti da Azure DevOps essere in grado di connettersi all'account o a un progetto. Quando si aggiungono account di utenti direttamente a un gruppo predefinito o tramite un gruppo di Windows, Active Directory o Azure Active Directory, questi vengono aggiunti automaticamente a uno dei gruppi di utenti validi. Per altre informazioni, vedere Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza.