Componentes, termos e conceitos principais
Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019
Para implantar e gerenciar Azure DevOps Server com eficiência, você deve entender como ela funciona e se comunica com outros componentes de implantação. Como administrador do Azure DevOps, você deve estar familiarizado com autenticação do Windows, protocolos de rede e tráfego e a estrutura da rede de negócios na qual o Azure DevOps está instalado. Você também deve ter uma compreensão dos grupos e permissões do Azure DevOps.
Você também pode achar útil uma compreensão dos produtos SQL Server, SQL Server Reporting Services e SharePoint.
Você poderá planejar, implantar e gerenciar Azure DevOps Server se entender os componentes e os termos descritos neste artigo.
Serviço de análise
O serviço analytics é a plataforma de relatório do futuro para o Azure DevOps. No momento, ele está disponível no Azure DevOps Services e pode ser instalado no Azure DevOps Marketplace no Azure DevOps Server. Para obter mais informações, consulte O que é o serviço de Análise?
Camada de aplicativo, camada de dados e camada de cliente
As camadas lógicas que compõem Azure DevOps Server. Essas camadas podem ser implantadas no mesmo computador físico ou podem ser instaladas em vários computadores. Para obter mais informações, consulte Visão geral da arquitetura para Azure DevOps Server.
Coleção de projetos
A unidade organizacional primária para todos os dados em Azure DevOps Server. As coleções determinam os recursos disponíveis para os projetos adicionados a eles. Esses recursos podem incluir SQL Server Reporting Services, Pesquisa de código, extensões do Marketplace e muito mais. Para obter mais informações, consulte Gerenciar coleções de projetos.
Project
Um ponto central para sua equipe compartilhar atividades de equipe necessárias para desenvolver uma tecnologia ou produto de software específico. Os projetos são organizados em coleções de projetos. Para obter mais informações, consulte Sobre projetos e dimensionamento de sua organização.
Console de Administração do Azure DevOps Server
A ferramenta de gerenciamento centralizada para Azure DevOps Server os administradores configurem e gerenciem recursos. Para obter mais informações, consulte Referência rápida da tarefa administrativa.
Contas de serviço
A conta ou contas que os serviços Web e aplicativos executam pelo Azure DevOps. Azure DevOps Server requer contas de serviço para executar operações entre servidores e serviços Web. Essas contas de serviço têm requisitos específicos. Para obter mais informações, consulte Contas de serviço e dependências no Azure DevOps Server.
Produtos SharePoint
Software que fornece suporte para portais de projeto e painéis. Você pode incluir um ou mais aplicativos Web do SharePoint como parte da implantação de Azure DevOps Server. Para incluir um desses aplicativos, você deve instalar e configurar extensões de Azure DevOps Server para Produtos do SharePoint e configurar permissões em toda a implantação. Para obter mais informações, consulte Compartilhar informações usando o portal do projeto. A integração com produtos do SharePoint foi preterida para o TFS 2018 e versões posteriores.
SQL Server e SQL Server Reporting Services
Software que fornece uma plataforma de banco de dados para data warehousing e uma plataforma de business intelligence para soluções de integração, análise e relatório de dados. Azure DevOps Server armazena seus dados em bancos de dados SQL Server. Opcionalmente, você também pode incluir um servidor que está executando SQL Server Reporting Services e que gera relatórios automaticamente para projetos. Para obter mais informações, consulte Gerenciar relatórios, data warehouse e cubo do Analysis Services.
Conceitos de segurança
Para otimizar a segurança do Azure DevOps Server, você deve entender os seguintes conceitos:
- A topologia, que inclui onde e como os servidores que executam componentes do Azure DevOps são implantados, o tráfego de rede que passa entre Azure DevOps Server e clientes do Azure DevOps e os serviços que devem ser executados em Azure DevOps Server.
- Autenticação, que inclui a determinação da validade de usuários, grupos e serviços no Azure DevOps Server.
- A autorização, que inclui a determinação de se usuários, grupos e serviços válidos no Azure DevOps Server têm as permissões apropriadas para executar ações específicas.
Você também deve considerar os outros componentes e serviços dos quais Azure DevOps Server depende.
Ao considerar a segurança para Azure DevOps Server, você deve entender a diferença entre autenticação e autorização. A autenticação é a verificação das credenciais de uma tentativa de conexão de um cliente, servidor ou processo. Autorização é a verificação de que a identidade que está tentando se conectar tem permissões para acessar o objeto ou método. A autorização ocorre somente após a autenticação bem-sucedida. Se uma conexão não for autenticada, ela falhará antes que qualquer verificação de autorização seja executada. Se a autenticação de uma conexão for bem-sucedida, uma ação específica ainda poderá ser proibida porque o usuário ou grupo não estava autorizado a executar essa ação.
Topologias, portas e serviços
O primeiro elemento de implantação e segurança para Azure DevOps Server é se os componentes da implantação podem se conectar uns aos outros para se comunicarem. Sua meta é habilitar conexões entre clientes do Azure DevOps e Azure DevOps Server e limitar ou impedir outras tentativas de conexão.
Azure DevOps Server depende de determinadas portas e serviços para que possa funcionar. Você pode proteger e monitorar essas portas para ajudar a atender às necessidades de segurança de negócios. Você deve permitir que o tráfego de rede para Azure DevOps Server passe entre clientes do Azure DevOps, os servidores que hospedam os componentes lógicos da camada de aplicativo e a camada de dados, computadores para o Team Foundation Build e clientes remotos que estão usando o Servidor Proxy do Azure DevOps. Por padrão, Azure DevOps Server é configurado para usar HTTP para seus serviços Web. Para obter uma lista completa de portas e serviços que Azure DevOps Server usa e como eles são usados em sua arquitetura, consulte Azure DevOps Server arquitetura.
Você pode implantar Azure DevOps Server em um domínio do Active Directory ou em um grupo de trabalho. O Active Directory fornece mais recursos de segurança internos do que os grupos de trabalho fornecem. Você pode usar recursos do Active Directory para ajudar a proteger sua implantação de Azure DevOps Server. Por exemplo, você pode configurar o Active Directory para impedir nomes de computador duplicados para que um usuário mal-intencionado não possa falsificar o nome do computador com um servidor invasor que está executando Azure DevOps Server. Para atenuar o mesmo tipo de ameaça em um grupo de trabalho, você deve configurar certificados de computador.
Se você implantar Azure DevOps Server em um grupo de trabalho ou em um domínio, deverá estar em conformidade com determinadas restrições impostas pelos requisitos de Azure DevOps Server em si. Para obter mais informações sobre topologias para Azure DevOps Server, consulte Uma topologia de Azure DevOps Server simples, uma topologia de Azure DevOps Server moderada, uma topologia Azure DevOps Server complexa, noções básicas Windows SharePoint Services e Noções básicas sobre SQL Server e SQL Server Reporting Services.
Autenticação
A segurança para Azure DevOps Server é integrada e depende da autenticação integrada do Windows e dos recursos de segurança do sistema operacional Windows. Você pode usar a autenticação integrada do Windows para autenticar contas para conexões entre clientes do Azure DevOps e Azure DevOps Server, para serviços Web nos servidores que hospedam o aplicativo lógico e as camadas de dados e para conexões entre a camada de aplicativo e os próprios servidores da camada de dados.
Observação
Você pode configurar Azure DevOps Server para dar suporte ao Kerberos para autenticação mútua do cliente e do servidor depois de instalar Azure DevOps Server.
Você não deve configurar nenhuma SQL Server conexões de banco de dados entre Azure DevOps Server e produtos do SharePoint para usar a Autenticação SQL Server porque ela não é tão segura quanto autenticação do Windows. Quando você se conecta ao banco de dados, o nome de usuário e a senha da conta de administrador de banco de dados são enviados em um formato não criptografado. A autenticação integrada do Windows não envia o nome de usuário e a senha. Em vez disso, ele usa protocolos de segurança de autenticação integrada do Windows para transferir informações de identidade da conta de serviço associadas ao pool de aplicativos do IIS (Serviços de Informações da Internet) do host para SQL Server.
Autorização
Azure DevOps Server autorização é baseada em usuários e grupos no Azure DevOps, nas permissões atribuídas diretamente a esses usuários e grupos e nas permissões que esses usuários e grupos podem herdar pertencendo a outros grupos no Azure DevOps Server. Usuários e grupos no Azure DevOps podem ser usuários ou grupos locais, usuários ou grupos do Active Directory ou ambos.
Azure DevOps Server é pré-configurado com grupos padrão no nível de servidor, coleção e projeto. Você pode preencher esses grupos adicionando usuários individuais. No entanto, você poderá achar o gerenciamento mais fácil se preencher esses grupos usando grupos de segurança do Active Directory. Ao adotar essa abordagem, você pode gerenciar a associação de grupo e permissões de forma mais eficiente em vários computadores ou aplicativos, como Produtos do SharePoint e SQL Server.
Sua implantação específica pode exigir que você configure usuários, grupos e permissões em vários computadores e em vários aplicativos. Por exemplo, você deve configurar permissões para usuários e grupos em Reporting Services, Produtos do SharePoint e Azure DevOps Server se quiser incluir relatórios e portais de projeto como parte de sua implantação. Em Azure DevOps Server, você pode definir permissões para cada projeto, para cada coleção e em uma implantação (no nível do servidor). Além disso, determinadas permissões são concedidas por padrão a qualquer usuário ou grupo adicionado a Azure DevOps Server, pois esse usuário ou grupo é adicionado automaticamente aos Usuários Válidos do Azure DevOps. Para obter mais informações, consulte Gerenciar usuários ou grupos.
No additon para configurar permissões de autorização no Azure DevOps Server, talvez seja necessário autorização dentro do controle de versão e dos itens de trabalho. Você gerencia essas permissões separadamente em um prompt de comando, mas elas são integradas como parte da interface do Team Explorer.