マネージド ID とサービス プリンシパルのサポート

現在、ほとんどのアプリケーション統合シナリオでは、Azure DevOps と統合するために個人用アクセス トークン (PAT) に依存しています。 PAT は簡単に漏洩する可能性があり、悪意のあるアクターが条件付きアクセス ポリシーなどの Azure Active Directory セキュリティ機能を保護せずに強力なユーザーとして認証できる可能性があります。 これを防ぐために、定期的なローテーションなど、時間のかかるメンテナンスが必要になる場合があります。

アプリケーションで代わりにマネージド ID とサービス プリンシパルを使用して、REST API とクライアント ライブラリを介して Azure DevOps と統合できるように取り組んでいます。 この高度に要求された機能は、Azure DevOps のお客様に、PAT のより安全な代替手段を提供します。 また、マネージド ID は、Azure リソースで実行されているアプリケーションが、資格情報をまったく管理しなくても Azure AD トークンを取得する機能を提供します。

マネージド ID とサービス プリンシパルは、通常のユーザーと同様に、Azure DevOps で設定し、特定の資産 (プロジェクト、リポジトリ、パイプライン) に対するアクセス許可を付与できます。 これにより、マネージド ID またはサービス プリンシパルを使用するアプリケーションは、PAT のように、ユーザーに代わってではなく、Azure DevOps に接続し、自分に代わってアクションを実行できます。 これにより、チームは、認証用のトークンを提供するために 1 人の個人に依存するのではなく、サービスを一括して管理できます。