Componenti, termini e concetti chiave
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Per distribuire e gestire Azure DevOps Server in modo efficace, è necessario comprendere come funziona e comunica con altri componenti di distribuzione. In qualità di amministratore di Azure DevOps, è necessario avere familiarità con autenticazione di Windows, protocolli di rete e traffico e la struttura della rete aziendale in cui è installato Azure DevOps. È anche necessario avere una conoscenza dei gruppi e delle autorizzazioni di Azure DevOps.
È anche possibile comprendere SQL Server, SQL Server Reporting Services e prodotti SharePoint utili.
È possibile pianificare, distribuire e gestire Azure DevOps Server se si conoscono i componenti e i termini descritti in questo articolo.
Servizio di analisi
Il servizio Analytics è la piattaforma di creazione di report del futuro per Azure DevOps. È attualmente disponibile in Azure DevOps Services e può essere installato da Azure DevOps Marketplace in Azure DevOps Server. Per altre informazioni, vedere Che cos'è il servizio Analytics?
Livello applicazione, livello dati e livello client
Livelli logici che compongono Azure DevOps Server. Tutti questi livelli possono essere distribuiti nello stesso computer fisico o installati in più computer. Per altre informazioni, vedere Panoramica dell'architettura per Azure DevOps Server.
Raccolta di progetti
Unità organizzativa primaria per tutti i dati in Azure DevOps Server. Le raccolte determinano le risorse disponibili per i progetti aggiunti. Queste risorse possono includere SQL Server Reporting Services, code Search, estensioni del Marketplace e altro ancora. Per altre informazioni, vedere Gestire le raccolte di progetti.
Project
un punto centrale per la condivisione delle attività necessarie per sviluppare una tecnologia software o un prodotto specifico da parte del team. I progetti sono organizzati in raccolte di progetti. Per altre informazioni, vedere Informazioni sui progetti e sul ridimensionamento dell'organizzazione.
Console di amministrazione di Azure DevOps Server
Strumento di gestione centralizzato per Azure DevOps Server amministratori per configurare e gestire le risorse. Per altre informazioni, vedere Guida di riferimento rapido all'attività amministrativa.
Account di servizio
Account o account che i servizi Web e le applicazioni vengono eseguiti da Azure DevOps. Azure DevOps Server richiede che gli account del servizio eseguano operazioni tra server e servizi Web. Questi account del servizio presentano requisiti specifici. Per altre informazioni, vedere Account di servizio e dipendenze in Azure DevOps Server.
Prodotti SharePoint
Software che fornisce supporto per portali e dashboard di progetto. È possibile includere una o più applicazioni Web di SharePoint come parte della distribuzione di Azure DevOps Server. Per includere una di queste applicazioni, è necessario installare e configurare Azure DevOps Server estensioni per prodotti SharePoint ed è necessario configurare le autorizzazioni nella distribuzione. Per altre informazioni, vedere Condividere informazioni tramite il portale del progetto. L'integrazione con Prodotti SharePoint è stata deprecata per TFS 2018 e versioni successive.
SQL Server e SQL Server Reporting Services
software che fornisce una piattaforma database per il data warehousing e una piattaforma di Business Intelligence per soluzioni di integrazione dei dati, analisi e creazione di report. Azure DevOps Server archivia i dati nei database SQL Server. È anche possibile includere facoltativamente un server che esegue SQL Server Reporting Services e che genera automaticamente report per i progetti. Per altre informazioni, vedere Gestire report, data warehouse e cubo di Analysis Services.
Concetti relativi alla sicurezza
Per ottimizzare la sicurezza di Azure DevOps Server, è necessario comprendere i concetti seguenti:
- Topologia, che include dove e come vengono distribuiti i server che eseguono componenti di Azure DevOps, il traffico di rete che passa tra i client Azure DevOps Server e Azure DevOps e i servizi che devono essere eseguiti in Azure DevOps Server.
- Autenticazione, che include la determinazione della validità di utenti, gruppi e servizi in Azure DevOps Server.
- Autorizzazione, che include la determinazione di utenti, gruppi e servizi validi in Azure DevOps Server disporre delle autorizzazioni appropriate per eseguire azioni specifiche.
È anche consigliabile considerare gli altri componenti e servizi da cui dipende Azure DevOps Server.
Quando si considera la sicurezza per Azure DevOps Server, è necessario comprendere la differenza tra autenticazione e autorizzazione. Per Autenticazione si intende la verifica delle credenziali di un tentativo di connessione da parte di un client, server o processo. Autorizzazione è la verifica che l'identità che sta tentando di connettersi dispone delle autorizzazioni per accedere all'oggetto o al metodo. L'autorizzazione si verifica solo dopo la riuscita dell'autenticazione. Se una connessione non viene autenticata, viene negata prima della verifica dell'autorizzazione. Se l'autenticazione di una connessione riesce, è ancora possibile negare l'esecuzione di una determinata azione se l'utente o il gruppo non è stato autorizzato.
Topologie, porte e servizi
Il primo elemento della distribuzione e della sicurezza per Azure DevOps Server è se i componenti della distribuzione possono connettersi tra loro per comunicare. L'obiettivo è abilitare le connessioni tra client Azure DevOps e Azure DevOps Server e limitare o impedire altri tentativi di connessione.
Azure DevOps Server dipende da determinate porte e servizi in modo che possa funzionare. È possibile proteggere e monitorare tali porte in base alle esigenze di sicurezza aziendali. È necessario consentire al traffico di rete per Azure DevOps Server di passare tra client Azure DevOps, i server che ospitano i componenti logici del livello applicazione e il livello dati, i computer per Team Foundation Build e i client remoti che usano il server proxy di Azure DevOps. Per impostazione predefinita, Azure DevOps Server è configurato per l'uso di HTTP per i servizi Web. Per un elenco completo delle porte e dei servizi usati da Azure DevOps Server e come vengono usati all'interno dell'architettura, vedere architettura Azure DevOps Server.
È possibile distribuire Azure DevOps Server in un dominio di Active Directory o in un gruppo di lavoro. In Active Directory sono disponibili più funzionalità di sicurezza incorporate rispetto ai gruppi di lavoro. È possibile usare le funzionalità di Active Directory per proteggere la distribuzione di Azure DevOps Server. Ad esempio, è possibile configurare Active Directory per impedire nomi di computer duplicati in modo che un utente malintenzionato non possa eseguire lo spoofing del nome del computer con un server non autorizzato che esegue Azure DevOps Server. Per proteggersi dallo stesso tipo di minaccia in un gruppo di lavoro, è necessario configurare certificati per il computer.
Indipendentemente dal fatto che si distribuisca Azure DevOps Server in un gruppo di lavoro o in un dominio, è necessario rispettare determinati vincoli imposti dai requisiti di Azure DevOps Server stessa. Per altre informazioni sulle topologie per Azure DevOps Server, vedere Topologia di Azure DevOps Server semplice, Topologia Azure DevOps Server moderata, Topologia Azure DevOps Server complessa, Informazioni Windows SharePoint Services e Informazioni su SQL Server e SQL Server Reporting Services.
Authentication
La sicurezza per Azure DevOps Server è integrata con e si basa sull'autenticazione integrata di Windows e sulle funzionalità di sicurezza del sistema operativo Windows. È possibile usare l'autenticazione integrata di Windows per autenticare gli account per le connessioni tra client Azure DevOps e Azure DevOps Server, per i servizi Web nei server che ospitano l'applicazione logica e i livelli dati e per le connessioni tra i server livello applicazione e livello dati stessi.
Nota
È possibile configurare Azure DevOps Server per supportare Kerberos per l'autenticazione reciproca sia del client che del server dopo l'installazione di Azure DevOps Server.
Non è consigliabile configurare alcuna SQL Server connessioni alle banche dati tra Azure DevOps Server e prodotti SharePoint per l'uso dell'autenticazione SQL Server perché non è così sicura come autenticazione di Windows. Al momento della connessione al database il nome utente e la password dell'account amministratore del database vengono inviati in un formato non crittografato. L'autenticazione integrata di Windows non invia il nome utente e la password, Usa invece protocolli di sicurezza di autenticazione integrata di Windows per trasferire le informazioni di identità dell'account del servizio associate al pool di applicazioni IIS (Internet Information Services) host per SQL Server.
Autorizzazione
Azure DevOps Server l'autorizzazione si basa su utenti e gruppi in Azure DevOps, sulle autorizzazioni assegnate direttamente a tali utenti e gruppi e sulle autorizzazioni che tali utenti e gruppi possono ereditare appartenendo ad altri gruppi in Azure DevOps Server. Gli utenti e i gruppi in Azure DevOps possono essere utenti o gruppi locali, utenti o gruppi di Active Directory o entrambi.
Azure DevOps Server è preconfigurato con gruppi predefiniti a livello di server, raccolta e progetto. Benché sia possibile compilare questi gruppi aggiungendo singoli utenti, la gestione può risultare più semplice se si compilano questi gruppi usando i gruppi di sicurezza di Active Directory. Adottando questo approccio, è possibile gestire in modo più efficiente l'appartenenza ai gruppi e le autorizzazioni in più computer o applicazioni, ad esempio Prodotti SharePoint e SQL Server.
Una distribuzione specifica potrebbe richiedere la configurazione di utenti, gruppi e autorizzazioni in più computer e all'interno di più applicazioni. Ad esempio, è necessario configurare le autorizzazioni per utenti e gruppi in Reporting Services, Prodotti SharePoint e Azure DevOps Server se si desidera includere report e portali di progetto come parte della distribuzione. In Azure DevOps Server è possibile impostare le autorizzazioni per ogni progetto, per ogni raccolta e in una distribuzione (a livello di server). Inoltre, alcune autorizzazioni vengono concesse per impostazione predefinita a qualsiasi utente o gruppo aggiunto a Azure DevOps Server, in quanto tale utente o gruppo viene aggiunto automaticamente agli utenti validi di Azure DevOps. Per altre informazioni, vedere Gestire utenti o gruppi.
In Additon per configurare le autorizzazioni per l'autorizzazione in Azure DevOps Server, potrebbe essere necessaria l'autorizzazione all'interno del controllo della versione e degli elementi di lavoro. Queste autorizzazioni vengono gestite separatamente al prompt dei comandi, ma sono integrate come parte dell'interfaccia per Team Explorer.