Azure Active Directory OAuth の詳細なスコープ

Azure DevOps と統合される Azure Active Directory OAuth アプリケーションの動作を制限するために使用できる詳細な Azure DevOps スコープのサポートを提供しています。

アプリケーションにスコープを設定することで、ユーザーに代わって Azure DevOps に接続するときにアプリケーションで実行できる操作 (作業項目への書き込み、ソース コードの表示、パイプラインの構成など) を制限できます。 基になるユーザーに許可されている操作をアプリが実行できるようにする、1 つの広範なユーザー偽装スコープを使用するアプリでは、詳細なスコープを使用してその動作を制限できるようになりました。 たとえば、作業項目のみを読み取るアプリにはworkitem_readスコープのみを指定できるため、この動作以外では意図的に、またはそれ以外の場合は何も実行できません。

アプリケーションにスコープを追加するには、統合するすべてのアプリケーションで、事前にこれらのスコープを定義して、ユーザーが何をしようとしているかを宣言する必要があります。 これらのスコープは、このアプリがユーザーに代わってアクションを実行することを承認することに同意する前に確認できます。 これにより、アクセス権を持つリソースでアプリケーションが何を行っているかをより詳細に把握できます。

アプリケーション開発者は、アプリケーションによって発行されたトークンが間違った手に落ちた場合にリスク ベクトルを制限するのに役立ちます。