Składniki, terminy i kluczowe koncepcje

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 — TFS 2013

Uwaga

Azure DevOps Server wcześniej nosiła nazwę Visual Studio Team Foundation Server.

Aby efektywnie wdrażać Azure DevOps Server i zarządzać nimi, musisz zrozumieć, jak działa, i komunikuje się z innymi składnikami wdrożenia. Jako administrator usługi Azure DevOps należy znać uwierzytelnianie systemu Windows, protokoły sieciowe i ruch oraz strukturę sieci firmowej, w której zainstalowano usługę Azure DevOps. Należy także zrozumieć grupy i uprawnienia usługi Azure DevOps.

Warto również poznać przydatne produkty SQL Server, SQL Server Reporting Services i SharePoint.

Lepiej jest planować, wdrażać i zarządzać Azure DevOps Server, jeśli rozumiesz składniki i terminy opisane w tym artykule.

Usługa analizy

Usługa Analytics to platforma raportowania w przyszłości w przypadku usługi Azure DevOps. Jest on obecnie dostępny w Azure DevOps Services i można go zainstalować z witryny Azure DevOps Marketplace na Azure DevOps Server. Aby uzyskać więcej informacji, zobacz co to jest usługa analizy?

Warstwa aplikacji, warstwa danych i warstwa klienta

Warstwy logiczne, które tworzą Azure DevOps Server. Te warstwy mogą być wdrażane na tym samym komputerze fizycznym lub mogą być zainstalowane na wielu komputerach. Aby uzyskać więcej informacji, zobacz Omówienie architektury dla Azure DevOps Server.

Kolekcja projektów

Podstawowa jednostka organizacyjna dla wszystkich danych w Azure DevOps Server. Kolekcje określają zasoby dostępne dla projektów dodanych do nich. Te zasoby mogą obejmować SQL Server Reporting Services, Code Search, rozszerzenia witryny Marketplace i nie tylko. Aby uzyskać więcej informacji, zobacz Zarządzanie kolekcjami projektów.

Project

Centralny punkt dla zespołu do udostępniania działań zespołu, które są wymagane do opracowania konkretnej technologii oprogramowania lub produktu. Projekty są zorganizowane w kolekcje projektów. Aby uzyskać więcej informacji, zobacz Informacje o projektach i skalowaniu organizacji.

Konsola administracyjna Azure DevOps Server

Centralne narzędzia do zarządzania dla administratorów Azure DevOps Server do konfigurowania zasobów i zarządzania nimi. Aby uzyskać więcej informacji, zobacz krótkie informacje o zadaniach administracyjnych.

Konta usług

Konto lub konta, które usługi sieci Web i aplikacje są uruchamiane przez usługę Azure DevOps. Azure DevOps Server wymaga, aby konta usług wykonywały operacje między serwerami i usługami sieci Web. Te konta usług mają określone wymagania. Aby uzyskać więcej informacji, zobacz konta usług i zależności w Azure DevOps Server.

Produkty programu SharePoint

Oprogramowanie, które zapewnia obsługę portali projektów i pulpitów nawigacyjnych. W ramach wdrożenia Azure DevOps Server można dołączyć co najmniej jedną aplikację sieci Web programu SharePoint. Aby dołączyć jedną z tych aplikacji, należy zainstalować i skonfigurować rozszerzenia Azure DevOps Server dla produktów programu SharePoint, a także skonfigurować uprawnienia we wdrożeniu. Aby uzyskać więcej informacji, zobacz udostępnianie informacji za pomocą portalu projektu. Integracja z produktami programu SharePoint została uznana za przestarzałą dla programu TFS 2018 i nowszych wersji.

SQL Server i SQL Server Reporting Services

Oprogramowanie, które zapewnia platformę bazy danych na potrzeby magazynowania danych i platformy analizy biznesowej na potrzeby integracji danych, analizy i raportowania. Azure DevOps Server przechowuje dane w SQL Server bazach danych. Opcjonalnie można również dołączyć serwer z uruchomionym SQL Server Reporting Services i automatycznie generować raporty dla projektów. Aby uzyskać więcej informacji, zobacz Zarządzanie raportami, magazynem danych i modułem usług Analysis Services.

Pojęcia dotyczące zabezpieczeń

Aby zoptymalizować bezpieczeństwo Azure DevOps Server, należy zrozumieć następujące kwestie:

  • Topologia, która obejmuje miejsce i sposób wdrażania serwerów, na których są uruchamiane składniki platformy Azure DevOps, ruch sieciowy, który przechodzi między klientami Azure DevOps Server i Azure DevOps, oraz usługami, które muszą działać na Azure DevOps Server.
  • Uwierzytelnianie, które obejmuje określenie ważności użytkowników, grup i usług w Azure DevOps Server.
  • Autoryzacja, która obejmuje określenie, czy Prawidłowi użytkownicy, grupy i usługi w Azure DevOps Server mają odpowiednie uprawnienia do wykonywania określonych działań.

Należy również wziąć pod uwagę inne składniki i usługi, na których zależą Azure DevOps Server.

W przypadku uwzględnienia zabezpieczeń Azure DevOps Server należy zrozumieć różnicę między uwierzytelnianiem i autoryzacją. Uwierzytelnianie polega na sprawdzeniu poświadczeń próby połączenia z klienta, serwera lub procesu. Autoryzacja jest weryfikacją, że tożsamość próbująca nawiązać połączenie ma uprawnienia dostępu do obiektu lub metody. Autoryzacja odbywa się dopiero po pomyślnym uwierzytelnieniu. Jeśli połączenie nie zostanie uwierzytelnione, kończy się niepowodzeniem przed wykonaniem sprawdzania autoryzacji. W przypadku pomyślnego uwierzytelnienia połączenia określona akcja może nadal być niedozwolona, ponieważ użytkownik lub grupa nie ma autoryzacji do wykonania tej akcji.

Topologie, porty i usługi

Pierwszym elementem wdrożenia i zabezpieczeń Azure DevOps Server jest to, czy składniki wdrożenia mogą łączyć się ze sobą w celu komunikacji. Celem użytkownika jest włączenie połączeń między klientami DevOps platformy Azure a Azure DevOps Server i ograniczenie lub zablokowanie innych prób połączenia.

Azure DevOps Server zależy od określonych portów i usług, dzięki czemu może działać. Te porty można zabezpieczyć i monitorować, aby pomóc w spełnieniu potrzeb związanych z bezpieczeństwem firmy. Musisz zezwolić na ruch sieciowy, aby Azure DevOps Server między klientami platformy Azure DevOps, serwerami obsługującymi składniki logiczne warstwy aplikacji oraz warstwą danych, komputerami dla programu Team Foundation Build i klientami zdalnymi korzystającymi z serwera usługi Azure DevOps proxy. Domyślnie Azure DevOps Server jest skonfigurowany do korzystania z protokołu HTTP dla usług sieci Web. Aby uzyskać pełną listę portów i usług, których Azure DevOps Server używa i jak są używane w ramach architektury, zobacz Azure DevOps Server architektura.

Azure DevOps Server można wdrożyć w domenie Active Directory lub w grupie roboczej. Active Directory zapewnia więcej wbudowanych funkcji zabezpieczeń niż zapewnianie grup roboczych. Aby pomóc w zabezpieczeniu wdrożenia Azure DevOps Server, można użyć funkcji Active Directory. Można na przykład skonfigurować Active Directory tak, aby uniemożliwić Duplikowanie nazw komputerów, aby złośliwy użytkownik nie mógł sfałszować nazwy komputera na nieautoryzowanym serwerze z systemem Azure DevOps Server. Aby wyeliminować tego samego rodzaju zagrożenie w grupie roboczej, należy skonfigurować certyfikaty komputera.

Niezależnie od tego, czy wdrażasz Azure DevOps Server w grupie roboczej, czy w domenie, musisz przestrzegać pewnych ograniczeń narzuconych przez wymagania Azure DevOps Server samego siebie. Aby uzyskać więcej informacji na temat topologii Azure DevOps Server, zobacz prostą topologię Azure DevOps Server, średnią topologię Azure DevOps Server, złożoną topologię Azure DevOps Server, opis programu Windows SharePoint Servicesi zrozumienie SQL Server i SQL Server Reporting Services.

Authentication

Zabezpieczenia Azure DevOps Server są zintegrowane z uwierzytelnianiem zintegrowanym systemu Windows i funkcjami zabezpieczeń systemu operacyjnego Windows. Przy użyciu zintegrowanego uwierzytelniania systemu Windows można uwierzytelniać konta dla połączeń między klientami DevOps platformy Azure a Azure DevOps Server, w przypadku usług sieci Web na serwerach, które obsługują logiczną aplikację i warstwy danych, oraz dla połączeń między samymi serwerami warstwy aplikacji i warstwy danych.

Uwaga

Azure DevOps Server można skonfigurować do obsługi protokołu Kerberos na potrzeby wzajemnego uwierzytelniania zarówno klienta, jak i serwera po zainstalowaniu Azure DevOps Server.

Nie należy konfigurować żadnych połączeń SQL Server baz danych między produktami Azure DevOps Server i SharePoint, aby można było korzystać z uwierzytelniania SQL Server, ponieważ nie jest to bezpieczne jako uwierzytelnianie systemu Windows. Po nawiązaniu połączenia z bazą danych nazwa użytkownika i hasło do konta administratora bazy danych są wysyłane w nieszyfrowanym formacie. Uwierzytelnianie zintegrowane systemu Windows nie wysyła nazwy użytkownika i hasła. Zamiast tego używa protokołów zabezpieczeń uwierzytelniania zintegrowanego systemu Windows do transferowania informacji o tożsamości konta usługi, które są skojarzone z pulą aplikacji Internet Information Services hosta (IIS) do SQL Server.

Autoryzacja

Azure DevOps Server Autoryzacja jest oparta na użytkownikach i grupach w usłudze Azure DevOps, uprawnienia, które są przypisywane bezpośrednio zarówno do tych użytkowników, jak i grup, oraz uprawnienia, które mogą dziedziczyć te Użytkownicy i grupy, należące do innych grup w Azure DevOps Server. Użytkownicy i grupy w usłudze Azure DevOps mogą być lokalnymi użytkownikami lub grupami, Active Directory użytkowników lub grup lub obie.

Azure DevOps Server jest wstępnie skonfigurowany z domyślnymi grupami na poziomie serwera, kolekcji i projektu. Można wypełnić te grupy, dodając poszczególnych użytkowników. Zarządzanie tymi grupami można jednak ułatwić przy użyciu Active Directory grup zabezpieczeń. Korzystając z tej metody, można zarządzać członkostwem w grupach i uprawnieniami bardziej wydajnie na wielu komputerach lub aplikacjach, takich jak produkty SharePoint i SQL Server.

Określone wdrożenie może wymagać skonfigurowania użytkowników, grup i uprawnień na wielu komputerach i w kilku aplikacjach. Na przykład należy skonfigurować uprawnienia dla użytkowników i grup w usługach Reporting Services, produktach programu SharePoint i Azure DevOps Server, jeśli chcesz uwzględnić raporty i portale projektów w ramach wdrożenia. W Azure DevOps Server można ustawić uprawnienia dla każdego projektu, dla każdej kolekcji i wdrożenia (na poziomie serwera). Ponadto niektóre uprawnienia są domyślnie przyznawane każdemu użytkownikowi lub grupie, która została dodana do Azure DevOps Server, ponieważ ten użytkownik lub grupa jest automatycznie dodawana do ważnych użytkowników usługi Azure DevOps. Aby uzyskać więcej informacji, zobacz Zarządzanie użytkownikami lub grupami.

W programie dodatkowo do konfigurowania uprawnień do autoryzacji w Azure DevOps Server może być wymagana autoryzacja w ramach kontroli wersji i elementów roboczych. Tymi uprawnieniami zarządza się osobno w wierszu polecenia, ale są one zintegrowane jako część interfejsu dla Team Explorer.