Kullanmaya başlayın, erişim ve güvenlik gruplarıyla çalışma

  • Makale
  • Okumak için 11 dakika

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Bir Azure DevOps erişmek söz konusu olduğunda, aşağıdaki temel kavramları anlamak yararlı olur.

  • Bir Azure DevOps tüm kullanıcılar genellikle bir veya daha fazla güvenlik gruplarına eklenir.
  • Güvenlik gruplarına, bir özelle ilgili erişime izin verecek veya erişimi reddeden izinler atanır.
  • Güvenlik grubunun üyeleri gruba atanan izinleri devralın.
  • Her kullanıcıya ayrıca belirli web portalı özelliklerine erişim izni vermek veya erişimi kısıtlamak için bir erişim düzeyi atanır.
  • İzinler depolar, işlem hatları, alan yolları gibi çoğu nesne için çeşitli düzeylerde ayarlanır.
  • Diğer izinler, takım yöneticisi rolü, uzantı yönetimirolü ve çeşitli işlem hattı kaynak rolleri gibi rol tabanlı atamalar aracılığıyla yönetilir.
  • Son olarak, yeni özellikler tanıtıldı olarak, bu özelliklere erişmek için özellik bayrağını etkinleştirmeniz gerekir.

Örneğin, depolar, iş izleme, işlem hatları ve daha fazlası için okuma ve yazma erişimi sağlayan Katkıda Bulunanlar güvenlik grubuna bireysel katkıda bulunanlar eklenir. Ayrıca, Katkıda Bulunanlara birincil olarak Temel erişim izni de ve verildi. Test hizmetleri için erişime ihtiyaçları varsa, bu hizmetlere Gelişmiş veya Temel + Test Plans ve olabilir. Git depoları, dallar, işlem hatları, alan yolları ve daha fazlası gibi belirli bir projeye veya proje içindeki nesnelere izinler uygulanabilir. Ya da tüm kuruluş veya koleksiyon için geçerli olabilir. Her işlevsel alan, dağıtım genelinde yönetimi basitleştirmek için güvenlik gruplarını kullanır.

Yöneticiler güvenlik gruplarını ve izinleri web portalı yönetim bağlamından yönetir. Katkıda bulunanlar, web portalında oluşturdukları veya sahip olduğu nesnelere yönelik izinleri de yönetir. İzinler, kullanıcıları ekley istediğiniz gruba veya kullanıcı veya grup ekley istediğiniz nesne, proje, koleksiyon veya sunucu düzeyine göre otomatik olarak ayarlanır.

Daha fazla bilgi edinmek için bu makalede sağlanan bilgileri ve aşağıdaki makaleleri gözden geçirebilirsiniz:

Güvenlik grupları ve üyelik

Bir kuruluş, koleksiyon veya projenin oluşturulmasıyla birlikte, Azure DevOps otomatik olarak varsayılan izinler atanmış bir varsayılan güvenlik grubu kümesi oluşturur. Ek güvenlik grupları aşağıdaki eylemlerle tanımlanır:

  • Özel bir güvenlik grubu eklerken. Aşağıdaki düzeylerde özel güvenlik grupları oluşturabilirsiniz:
    • İşlem hatları, depolar, alan yolları ve daha fazlası için nesne düzeyi
    • Project düzeyi
    • Kuruluş veya koleksiyon düzeyi
    • Sunucu düzeyi (yalnızca şirket içi)
  • Bir ekip eklerken bir ekip güvenlik grubu oluşturulur

Azure DevOps birbirine bağlı üç işlevsel alan üzerinden erişimi kontrol eder:

  • Üyelik yönetimi, varsayılan güvenlik gruplarına bireysel kullanıcı hesapları ve grupları eklemeyi destekler. Her varsayılan grup bir varsayılan izin kümesiyle ilişkilendirildi. Herhangi bir güvenlik grubuna eklenen tüm kullanıcılar Geçerli Kullanıcılar grubuna eklenir. Geçerli bir kullanıcı, bir projeye, koleksiyona veya kuruluşa bağlanan kişidir.

  • İzin yönetimi, sistemin farklı düzeylerinde belirli işlevsel görevlere erişimi kontrol eder. Nesne düzeyinde izinler bir dosya, klasör, derleme işlem hattı veya paylaşılan sorgu üzerinde izinleri ayarlayın. İzin ayarları İzin Ver, Reddet, Devralınan izin ver, Devralınan reddetme veAyarlanmaz ayarlarına karşılık geldi. Devralma hakkında daha fazla bilgi edinmek için bu makalenin devamlarında yer alan İzin devralma ve güvenlik grupları makalesine bakın.

  • Erişim düzeyi yönetimi, web portalı aracılığıyla sağlanan özelliklere erişimi, Azure DevOps. Yöneticiler, bir kullanıcı için satın alınanlara bağlı olarak kullanıcının erişim düzeyini Temel, Temel + Test, VS Enterprise (daha önce Gelişmiş) veya Paydaş olarak ayarlar.

Her işlevsel alan, dağıtım genelinde yönetimi basitleştirmek için güvenlik gruplarını kullanır. Kullanıcıları ve grupları web yönetimi bağlamı aracılığıyla eklersiniz. İzinler, kullanıcıları ekleyiştirilen güvenlik grubuna veya grup ekleyiş nesne, proje, koleksiyon veya sunucu düzeyine göre otomatik olarak ayarlanır.

Güvenlik grubu üyeleri kullanıcıların, diğer grupların ve güvenlik gruplarının Azure Active Directory olabilir.

Güvenlik grubu üyeleri kullanıcıların, diğer grupların ve Active Directory gruplarının veya bir Çalışma Grubunun birleşimi olabilir.

Kullanıcılarınızı yönetmek için yerel gruplar veya Active Directory (AD) grupları oluşturabilirsiniz. Grupları kullanmaya karar veriyorsanız, bu gruplarda üyeliğin geçerli kullanıcılarla sınırlı olduğundan emin olun. Grup üyeliği sahipleri tarafından herhangi bir zamanda değiştirilenece, bu sahipler bu grupları Azure DevOps Server erişime sahip olmadığını düşünseler, üyelikte yaptıkları değişiklikler sunucu içinde istenmeyen yan etkilere neden olabilir.

Kullanıcıların çoğu, erişmeleri gereken özelliklere erişmelerini sağlamak için bir projenin Katkıda Bulunanlar grubuna atanır. Yöneticiler, Project Collection Administrators veya Project grubuna eklenmiştir.

Active Directory ve Azure Active Directory grupları

Tek tek kullanıcılar ekleyerek güvenlik gruplarını doldurmak için kullanılabilir. Ancak, yönetim kolaylığı için, bu grupları Azure Active Directory için Azure DevOps Services ve Active Directory (AD) veya Windows kullanıcı grupları için Azure DevOps Server kullanarak doldurmak daha Azure DevOps Server. Bu yöntem, birden çok bilgisayarda grup üyeliğini ve izinleri daha verimli bir şekilde yönetmenizi sağlar.

Yalnızca küçük bir kullanıcı kümesi yönetmeniz gerekirse bu adımı atlayabilirsiniz. Ancak, kuruluşta büyüyebilirse AD veya Azure AD'i ayarlamak da iyi olabilir. Ayrıca ek hizmetler için ödeme yapmayı planlıyorsanız faturalamayı desteklemek için Azure AD'Azure DevOps ayarlayabilirsiniz.

Not

Azure AD olmadan tüm Azure DevOps Microsoft hesaplarını kullanarak oturum açması gerekir ve hesap erişimini bireysel kullanıcı hesaplarıyla yönetmeniz gerekir. Microsoft hesaplarını kullanarak hesap erişimini yönetse bile faturalamayı yönetmek için bir Azure aboneliği ayarlamanız gerekir.

Azure DevOps Services Azure Active Directory için Bağlan ayarlamak için bkz. Bağlan için Azure Active Directory.

Not

Kuruluşun bağlı olduğu Azure Active Directory, kuruluş güvenliğini sağlamak için etkinleştirilen veya devre dışı bırakılabilir bir dizi kuruluş ilkeniz olur. Daha fazla bilgi edinmek için bkz. Güvenlik, kimlik doğrulaması ve yetkilendirme hakkında, Güvenlik ilkeleri.

Azure AD ile kuruluş erişimini yönetmek için aşağıdaki makalelere bakın:

Active Directory'i Azure DevOps Server için aşağıdaki makalelere bakın:

Genellikle, active directory'yi yüklemeden önce yüklemeniz Azure DevOps Server.

Geçerli kullanıcı grupları

Kullanıcıların hesaplarını doğrudan bir güvenlik grubuna eklerken, bunlar otomatik olarak geçerli kullanıcı gruplarından biri içine eklenir.

  • Project Koleksiyonu Geçerli Kullanıcılar: Kuruluş düzeyindeki gruplara eklenen tüm üyeler.
  • Project Kullanıcılar: Proje düzeyi grubuna eklenen tüm üyeler.
  • Sunucu\Azure DevOps Geçerli Kullanıcılar: Sunucu düzeyi gruplara eklenen tüm üyeler.
  • ProjectCollectionName\Project Collection Valid Users: Koleksiyon düzeyi gruplara eklenen tüm üyeler.
  • ProjectName\Project Geçerli Kullanıcılar: Proje düzeyi gruplara eklenen tüm üyeler.
  • Sunucu\Team Foundation Geçerli Kullanıcılar: Sunucu düzeyindeki gruplara eklenen tüm üyeler.
  • ProjectCollectionName\Project Collection Valid Users: Koleksiyon düzeyi gruplara eklenen tüm üyeler.
  • ProjectName\Project Geçerli Kullanıcılar: Proje düzeyi gruplara eklenen tüm üyeler.

Bu gruplara atanan varsayılan izinler öncelikli olarak Derleme kaynaklarını görüntüleme,Proje düzeyinde bilgileri görüntüleme ve Koleksiyon düzeyinde bilgileri görüntüleme gibi okuma erişimiyle sınırlıdır.

Bu, bir projeye ekley istediğiniz tüm kullanıcıların bir koleksiyon içindeki diğer projelerde bulunan nesneleri görüntüleyebilirsiniz. Görünüm erişimini kısıtlamak gerekirse, alan yolu düğümü aracılığıyla kısıtlamalar atabilirsiniz.

Geçerli kullanıcı gruplarından biri için Örnek düzeyi bilgileri görüntüle iznini kaldırır veya reddedersanız, ayar seçtiğiniz gruba bağlı olarak grubun hiçbir üyesi projeye, koleksiyona veya dağıtıma erişe edemez.

Project kapsamlı Kullanıcı grubu

Varsayılan olarak, bir kuruluşa eklenen kullanıcılar tüm kuruluş ve proje bilgilerini ve ayarlarını görüntülemeye devam edebilirsiniz. Buna kullanıcı listesi, proje listesi, faturalama ayrıntıları, kullanım verileri ve Kuruluş verileri aracılığıyla erişilen daha birçok Ayarlar.

Paydaşlar, konuk kullanıcılar Azure Active Directory belirli bir güvenlik grubunun üyeleri gibi belirli kullanıcıları kısıtlamak için kuruluş için Projeler için kullanıcı görünürlüğünü sınırla önizleme özelliğini etkinleştirebilirsiniz. Bu etkinleştirildikten sonra, Project Kapsamlı Kullanıcılar grubuna eklenen tüm kullanıcı veya grubun Genel Bakış ve Projeler dışında Kuruluş Ayarlar sayfalarına erişimi kısıtlanırve yalnızca eklendikleri projelere erişimle sınırlıdır.

Bu özelliği etkinleştirmek için bkz. Özellikleri yönetme veya etkinleştirme.

Not

Tüm güvenlik grupları, yalnızca belirli bir projeye yönelik izinlere sahip olan gruplar bile olsa kuruluş düzeyinde varlıklardır. Bir projeye erişimi olmayan kullanıcılar, web portalında yalnızca belirli bir projeye yönelik izinlere sahip olan grupları göremeden önce bu grupları görebilir. Ancak Azure devops CLI aracını veya REST API'lerimizi kullanarak bir kuruluşta yer alan tüm grupların adlarını keşfedebilirsiniz. Daha fazla bilgi edinmek için bkz. Güvenlik grupları ekleme ve yönetme.

Erişim düzeyleri

Erişim düzeyleri, web portalında kullanıcılara hangi özelliklerin görünür olduğunu kontrol eder ve kullanıcı lisanslarına bağımlıdır; izinleri, kullanıcının Azure DevOps'a bağlanabilme ve Azure DevOps. Birine Çevik portföy yönetimi veya test çalışma yönetimi özelliklerine erişim vermeye çalışıyorsanız, izinleri değil erişim düzeylerini değiştirmekistersiniz.

Kullanıcılar veya gruplar için erişim düzeyinin ayarı, kullanıcılara bir projeye veya web portalına erişim izni sağlamaz. Bir projeye ve web portalına yalnızca ekip veya güvenlik grubuna eklenen kullanıcılar veya gruplar bağlanabilirsiniz. Kullanıcılarınızı hem izinlere hem de gereken erişim düzeyine sahip olduğundan emin olun. Bunu yapmak için projenin veya ekibin eklendiklerinden emin oluruz.

İzinler

Aşağıdaki görüntüde gösterildiği gibi, projede ve koleksiyon düzeyinde tanımlanan güvenlik grupları nesne, proje ve kuruluş düzeyinde atanan izinlere atanabilir.

Varsayılan güvenlik gruplarını izin düzeylerine, buluta kavramsal görüntü eşleme

Aşağıdaki görüntüde gösterildiği gibi, projede ve koleksiyon düzeyinde tanımlanan güvenlik grupları nesne, proje ve koleksiyon düzeyinde atanmış izinlere atanabilir. Sunucu düzeyindeki güvenlik gruplarını yalnızca sunucu düzeyinde izinler olarak tanımlayabilirsiniz.

Varsayılan güvenlik gruplarını şirket içi izin düzeylerine kavramsal görüntü eşleme

Güvenlik gruplarının ve izin düzeylerinin kavramsal görüntüsü, TFS-2018 ve önceki sürümler

Her varsayılan güvenlik grubunun açıklaması için bkz. Güvenlik grupları, hizmet hesapları ve izinler.

İzin durumları

İzine beş olası atama yapılır. Belirtilen şekilde erişim sağlar veya erişimi kısıtlar.

  • Kullanıcı veya grubun bir görevi gerçekleştirme izinleri vardır:
    • İzin Ver
    • Devralınan izin
  • Kullanıcının veya grubun bir görevi gerçekleştirme izni yok:
    • Reddetme
    • Devralınan reddetme
    • Ayarlı değil

İzin ayarları hakkında şunları bilmek gerekir:

  • İzin Ver veya Reddet açıkça kullanıcıların belirli görevleri gerçekleştirmesine izin vermez veya kısıtlar ve genellikle grup üyeliğinden devralınmış olur.

  • Ayarlanmaz, kullanıcıların bu izni gerektiren görevleri gerçekleştirme becerisini örtülü olarak reddeder, ancak bu izin kümesine sahip olan bir gruptaki üyeliklere İzin Ver (devralınmış) veya Devralınmış izin verme ve Reddet (devralınmış) veya Devralınmış reddetme olarak da bilinir) öncelik almaya izin verir.

  • Çoğu grup ve neredeyse tüm izinler için Reddet geçersiz kılmalarına İzin Ver'i geçersiz kılar. Bir kullanıcı iki gruba aitse ve bunlardan biri Reddetme olarak ayarlanmış belirli bir izine sahipse, bu kullanıcı, İzin Ver olarak ayarlanmış bir gruba ait olsa bile bu izni gerektiren görevleri gerçekleştiramaz.

    Bazı durumlarda, Project Koleksiyon Yöneticileri veya Team Foundation Administrators gruplarının üyeleri, farklı bir grupta bu izin reddedilirse bile her zaman izin alsalar bile bu izni alsalar. İş öğesi silme veya işlem hatları gibi diğer durumlarda, proje koleksiyonu yöneticilerinin bir üyesi olmak, başka bir yerde ayarlanmış Reddetme izinlerini atlamaz.

  • Bir grubun iznini değiştirmek, o grubun üyesi olan tüm kullanıcılar için bu izni değiştirir. Başka bir deyişle, grubun boyutuna bağlı olarak, yalnızca bir izni değiştirerek yüzlerce kullanıcının işlerini yapma becerisini etkileyebilirsiniz. Bu nedenle, değişiklik öncesinde etkisini anlayasınız.

İzin devralma ve güvenlik grupları

Bazı izinler hiyerarşi üzerinden yönetilir. Bu hiyerarşide izinler üst öğeden devralınabilir veya geçersiz kılınabilir. Güvenlik grupları, grubun bu üyelerine bir izin kümesi atar. Örneğin, Katkıda Bulunanlar grubunun veya Project Administrators grubunun üyelerine, bu gruplara İzin Verildi olarak ayarlanmış izinler atanır.

Bir kullanıcı için bir izine doğrudan izin verilmiyor veya reddedilmiyorsa, iki şekilde devralınabilir.

  • Kullanıcılar ait olduğu gruplardan izinleri devralabilir. Bir kullanıcı için doğrudan veya bu izni olan bir gruptaki üyelik aracılığıyla izin verilmiyorsa ve bu izin doğrudan veya grup üyeliği aracılığıyla reddedilirse, izin reddedilir.

    Koleksiyon yöneticilerinin ProjectTeam Foundation Yöneticileri, bu izinleri reddeden diğer gruplara ait olsalar bile izin verilen en fazla izinleri korur. İş öğesi işlem izinleri bu kuralın özel durumudur.

  • Hiyerarşinin düğümleri için atanan nesne düzeyi izinler (alanlar, yinelemeler, sürüm denetimi klasörleri, iş öğesi sorgu klasörleri) hiyerarşinin altında devralınmış olur. Başka bir ifadeyle, için aynı izin açıkça izin verilmezse veya reddedilirse, olarak ayarlanmış bir kullanıcının izinleri tarafından area-1area-1/sub-area-1 devralınmış area-1/sub-area-1 olur. gibi bir nesne için açıkça bir izin ayarlanırsa, reddedilen veya izin verilenden bağımsız olarak üst düğüm area-1/sub-area-1 devralınmaz. Ayarlanmazsa, o düğümün izinleri açıkça ayarlanmış izni olan en yakın üst düğümden devralınmış olur. Son olarak, nesne hiyerarşisinde, belirlilik devralmayı alır. Örneğin, izinleri 'alan-1' üzerinde açıkça Reddet olarak ayarlanmış ancak 'alan-1/alt alan-1' için açıkça İzin Ver olarak ayarlanmış bir kullanıcı sonunda 'alan-1/alt-alan-1' üzerinde İzin Ver alır.

bir iznin neden devralınmış olduğunu anlamak için bir izin ayarı üzerinden duraklatabilir ve ardından Neden?'i seçebilirsiniz. Güvenlik sayfasını açmak için bkz. İzinleri görüntüleme.

Not

Project permissions Ayarlar sayfasında yeni kullanıcı arabirimini etkinleştirmek için bkz. Önizleme özelliklerini etkinleştirme.

İzinler iletişim kutusu, önizleme sayfası, Neden bağlantı ek açıklamalı?

Bu iznin devralma bilgilerini gösteren yeni bir iletişim kutusu açılır.

Project permissions Ayarlar Sayfasının önizleme kullanıcı arabirimi, Azure DevOps Server 2020 ve önceki sürümlerde kullanılamaz.

İzin atarken

Şunları yap:

  • Çok Azure Active Directory, Active Directory veya Windows güvenlik gruplarını kullanın.
  • Takım eklerken, alan yolları, yineleme yolları ve sorgular oluşturması ve değiştirmesi gerektirecek ekip adaylarına, scrum master'larına ve diğer ekip üyelerine hangi izinleri atamak istediğinize dikkat olun.
  • Çok sayıda takım eklerken, Yöneticiler için kullanılabilir izinlerin bir alt kümesini ayırarak Bir Takım Yöneticileri Project düşünün.
  • İş öğesi sorgu klasörleri Proje için iş öğesi sorguları oluşturma ve paylaşma olanağı gerektiren kullanıcılara veya gruplara katkıda bulun iznini verebilirsiniz.

Yapma:

  • Project Collection Administrators grubuna veya Project Administrators grubuna herhangi bir düzeyde Reddetme izni atamazsınız
  • Farklı izin düzeyleri içeren birden çok güvenlik grubu için kullanıcı ekleme. Bazı durumlarda, Reddetme izin düzeyi İzin ver izin düzeyini geçersiz k olabilir.
  • Geçerli kullanıcı gruplarına yapılan varsayılan atamaları değiştirme. Geçerli Kullanıcılar gruplarından biri için Örnek düzeyi bilgileri görüntüle iznini kaldırır veya Reddet olarak ayarlarsanız, ayar seçtiğiniz gruba bağlı olarak gruptaki hiçbir kullanıcı projeye, koleksiyona veya dağıtıma erişamaz.
  • Kullanıcı hesaplarına 'Yalnızca hizmet hesaplarına ata' olarak not verilen izinleri atamayın.

Rol tabanlı izinler

Rol tabanlı izinlerle, kullanıcı hesapları bir role atanır ve her role bir veya daha fazla izin atanır. Daha fazla bilgi edinmek için birincil roller ve bağlantılar buradadır.

  • Yapıt veya paket akışı güvenlik rolleri:Roller, paket akışlarını düzenlemek ve yönetmek için çeşitli izin düzeylerini destekler.

  • Market uzantısı Yöneticisi rolü:Yönetici rolünün üyeleri uzantıları yükleyebilir ve uzantıların yüklenme isteklerine yanıt verir.

  • İşlem hattı güvenlikrolleri: Kitaplık kaynaklarını, proje düzeyi ve koleksiyon düzeyinde işlem hattı kaynaklarını yönetmek için birkaç rol kullanılır.

  • Takım yöneticisi rolü Takım yöneticileri tüm takım araçlarını yönetebilir.

    Not

    Project Yöneticileri veya Project Koleksiyon Yöneticileri gruplarının üyeleri tüm ekip araçları için tüm takım araçlarını yönetebilir.

Özellik bayrakları

Seçme erişimi, yeni özellikler özellik bayraklarıyla denetleniyor. Belirli aralıklarla Azure DevOps Services, bunları bir özellik bayrağının arkasına yerleştirerek yeni özellikler sunar. Özel önizleme altındaki özellikler için kuruluş sahibinin özelliğin açık olması isteği gerekir. Diğer özellikler, genel kullanıcıların etkinleştiren veya devre dışı bırakarak etkinleştiren bir önizleme özelliği olarak tanıtabilirsiniz.

Daha fazla bilgi edinmek için bkz. Özellikleri yönetme veya etkinleştirme.

Sonraki adımlar

Varsayılan izinler ve erişim