Добавление групп безопасности и управление ими

Azure DevOps Services | Azure DevOps Server 2020

Группы безопасности используются для управления разрешениями и доступом, как описано в разделе Приступая к работе с разрешениями, доступом и группами безопасности. например, членам группы "участники" или "администраторы Project" назначаются разрешения, разрешенные для этих групп.

В Azure DevOps предварительно настроены группы безопасности по умолчанию. Вы можете добавлять группы безопасности для Организации, коллекции или проекта, а также управлять ими с помощью команд AZ devops Security Group . Эта команда используется для:

  • Создание новой группы безопасности
  • Просмотр сведений о группах безопасности и группах безопасности
  • Обновление или удаление группы безопасности
  • Управление членством в группах безопасности для групп и пользователей

Примечание

для Azure DevOps Server можно управлять группами безопасности с помощью az devops security group команды, описанной в этой статье, или с помощью команды az devops security group . Дополнительные сведения см. в разделе команда TFSSecurity.

Предварительные требования

  • для добавления групп безопасности и управления ими необходимо быть членом группы безопасности "администраторы коллекции Project".
  • необходимо установить расширение CLI Azure DevOps, как описано в разделе приступая к работе с Azure DevOps CLI.
  • войдите в Azure DevOps с помощью az login .
  • Для примеров, приведенных в этой статье, настройте организацию по умолчанию следующим образом:
    • для Azure DevOps Services: .
    • для Azure DevOps Server:

Команды группы безопасности

Команда Описание
az devops security group create создайте группу безопасности Azure DevOps.
az devops security group delete удаление Azure DevOps группы безопасности.
az devops security group list Вывод списка всех групп в проекте или организации.
az devops security group show Отображение сведений о группе.
az devops security group update Обновите имя и описание группы безопасности.
az devops security group membership add Добавление члена в группу безопасности.
az devops security group membership list Вывод списка членств для группы или пользователя.
az devops security group membership remove Удаление члена из группы безопасности.

Следующие параметры являются необязательными для всех команд и не перечислены в примерах, приведенных в этой статье.

  • Обнаружение: автоматическое определение организации. Допустимые значения: false, true. Значение по умолчанию — true.
  • org: Azure DevOps URL-адрес организации. Вы можете настроить организацию по умолчанию с помощью команды AZ devops configure-d Organization = ORG_URL. Требуется, если не настроено по умолчанию или выбрано с помощью конфигурации Git. Пример: --org https://dev.azure.com/MyOrganizationName/ .

Создание группы безопасности

Группу безопасности можно создать с помощью команды AZ devops Security Group Create .

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Необязательные параметры

  • Описание: описание новой группы безопасности.
  • email-id: создание новой группы с использованием адреса электронной почты в качестве ссылки на существующую группу из поставщика Azure Active Directory. Требуется, если отсутствует имя или источник-идентификатор .
  • группы: разделенный запятыми список дескрипторов, ссылающихся на группы, к которым нужно присоединить созданную группу.
  • имя: имя новой группы безопасности. Требуется, если отсутствует источник или идентификатор электронной почты .
  • источник — идентификатор: Создайте новую группу, используя параметров: originid в качестве ссылки на существующую группу из поставщика, поддерживающего Azure AD. Требуется, если отсутствует имя или Идентификатор электронной почты .
  • Project: имя или идентификатор проекта, в котором должна быть создана группа.
  • область: создать группу на уровне проекта или организации. Допустимые значения: Организация и проект (по умолчанию).

Пример

Следующая команда создает группу безопасности управления учетными записями в проекте мифирстпрожект и отображает результат в формате таблицы.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Удаление группы безопасности

Группу безопасности можно удалить с помощью команды AZ devops Security Group Delete .

az devops security group delete --id
                                [--yes]

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности. Чтобы получить дескриптор, используйте команду AZ devops Security Group List .
  • Да: необязательно. Не запрашивать подтверждение.

Пример

Следующая команда удаляет группу безопасности с указанным дескриптором и не запрашивает подтверждение.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Список групп безопасности

Список всех групп безопасности в проекте или организации можно вывести с помощью команды AZ devops Security Group List .

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Необязательные параметры

  • продолжение — токен. Если имеются дополнительные результаты, которые невозможно вернуть на одной странице, результирующий набор будет содержать токен продолжения для получения следующего набора результатов.
  • проект: список групп для конкретного проекта.
  • Scope: список групп на уровне проекта или организации. Допустимые значения: Организация и проект (по умолчанию).
  • субъект — типы: разделенный запятыми список подтипов субъектов пользователя для уменьшения полученных результатов. Начальную часть дескриптора (перед точкой) можно задать в качестве фильтра, например вссгп, аадгп.

Пример

Следующая команда перечисляет имя и дескриптор для всех групп безопасности в мифирстпрожекти отображает результаты в формате таблицы.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Отображение сведений о группе безопасности

Подробные сведения о группе безопасности можно просмотреть с помощью команды AZ devops Security Group-отобразить .

az devops security group show --id

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности.

Пример

следующая команда отображает сведения для группы безопасности Project допустимые пользователи в табличном формате.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Обновление группы безопасности

Имя и описание группы безопасности можно изменить с помощью команды AZ devops Security Group Update .

az devops security group update --id
                                [--description]
                                [--name]

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности.
  • Описание: необязательно. Новое описание группы безопасности. Требуется, если отсутствует имя .
  • имя: необязательный. Новое имя группы безопасности. Требуется, если отсутствует Описание .

Пример

Следующая команда изменяет имя группы безопасности с указанным дескриптором и показывает результат в формате YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Добавление члена в группу

Добавить участника в группу безопасности можно с помощью команды AZ devops Security Group Membership .

az devops security group membership add --group-id
                                        --member-id

Параметры

  • Group-ID: требуется. Дескриптор группы, в которую добавляется элемент.
  • member-ID: обязательный. Дескриптор группы или адрес электронной почты добавляемого пользователя.

Пример

Следующая команда добавляет пользователя contoso@contoso.com в указанную группу безопасности и отображает результаты в формате таблицы.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Вывод списка членов группы или пользователя

Список членов группы или пользователя можно вывести с помощью команды AZ devops Security Group Membership List .

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности или адрес электронной почты пользователя, сведения о членстве которого необходимы.
  • связь: необязательный. Получение сведений очленах группы или. Допустимые значения: memberof и Members.

Примеры

Следующая команда выводит список членов указанной группы безопасности и отображает результаты в формате таблицы.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Ниже приведен еще один пример, в котором перечислены члены группы электронной почты для проекта Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Удаление члена из группы

Удалить участника из группы безопасности можно с помощью команды AZ devops Security Group Membership Remove .

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Параметры

  • Group-ID: требуется. Дескриптор группы, из которой необходимо удалить член.
  • member-ID: обязательный. Дескриптор группы или адрес электронной почты удаляемого пользователя.
  • Да: необязательно. Не запрашивать подтверждение.

Пример

Следующая команда удаляет пользователя contoso@contoso.com из указанной группы безопасности без запроса подтверждения.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes