İzinleri, erişimi ve güvenlik gruplarını kullanmaya başlama

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Azure DevOps özelliğe erişmek için aşağıdaki temel kavramların anlaşılması faydalı olur.

  • Azure DevOps eklenen tüm kullanıcılar genellikle bir veya daha fazla güvenlik grubuna eklenir.
  • Güvenlik gruplarına, bir özelliğe erişime izin veren ya da erişimi reddeden izinler atanır.
  • Güvenlik grubunun üyeleri gruba atanan izinleri alırlar .
  • Her kullanıcıya ayrıca Web portalı özelliklerini seçme erişimi veren veya bu erişimi kısıtlayan bir erişim düzeyi atanır.
  • İzinler, depolar, işlem hatları, alan yolları gibi birçok nesne için çeşitli düzeylerde ayarlanır.
  • Diğer izinler, takım yöneticisi rolü, uzantı yönetimi rolü ve çeşitli işlem hattı kaynak rolleri gibi rol tabanlı atamalar aracılığıyla yönetilir.
  • Son olarak, yeni özellikler tanıtıldığında, bunlara erişmek için özellik bayrağını etkinleştirmeniz gerekebilir.

Örneğin, ayrı katılımcılar, depolar, iş izleme, işlem hatları ve daha fazlasına yönelik okuma ve yazma erişimi sağlayan katkıda bulunanlar güvenlik grubuna eklenir. Ayrıca, katkıda bulunanlar öncelikli olarak temel erişime sahiptir. test hizmetlerine erişmesi gerekiyorsa, bunlara gelişmiş veya temel + Test Plans erişimi verilebilir. İzinler, proje içindeki Git depoları, dallar, işlem hatları, alan yolları ve daha fazlası gibi belirli bir proje veya nesne için de uygulanabilir. Ya da bir kuruluşun veya koleksiyonun tamamına uygulayabilirler. Her işlevsel alan, dağıtım genelinde yönetimi basitleştirmek için güvenlik gruplarını kullanır.

Yöneticiler, Web portalı yönetim bağlamından güvenlik gruplarını ve izinleri yönetir. Katkıda bulunanlar, Web portalından oluşturdukları veya sahip oldukları nesneler için izinleri yönetir. İzinler, kullanıcıları eklediğiniz gruba veya Kullanıcı veya grup eklediğiniz nesne, proje, koleksiyon veya sunucu düzeyine göre otomatik olarak ayarlanır.

Daha fazla bilgi edinmek için bu makalede belirtilen bilgileri ve aşağıdaki makaleleri gözden geçirin:

Güvenlik grupları ve üyelik

bir kuruluş, koleksiyon veya proje oluşturmak — Azure DevOps, otomatik olarak varsayılan izinler atanan bir varsayılan güvenlik grupları kümesi oluşturur. Ek güvenlik grupları aşağıdaki eylemlerle tanımlanmıştır:

  • Özel bir güvenlik grubu eklediğinizde. Aşağıdaki düzeylerde özel güvenlik grupları oluşturabilirsiniz:
    • İşlem hatları, depolar, alan yolları ve daha fazlası gibi nesne düzeyi
    • Project düzeyi
    • Kuruluş-veya koleksiyon düzeyi
    • Sunucu düzeyi (yalnızca şirket içi)
  • Takım eklediğinizde, bir ekip güvenlik grubu oluşturulur

Azure DevOps, bu üç bağlantılı işlevsel alanla erişimi denetler:

  • Üyelik yönetimi , bireysel kullanıcı hesaplarının ve grupların varsayılan güvenlik gruplarına eklenmesini destekler. Her varsayılan grup bir varsayılan izinler kümesiyle ilişkilendirilir. Herhangi bir güvenlik grubuna eklenen tüm kullanıcılar geçerli kullanıcılar grubuna eklenir. Geçerli bir Kullanıcı, bir projeye, koleksiyona veya kuruluşa bağlanabilecek kişidir.

  • İzin yönetimi , sistem farklı düzeylerde belirli işlevsel görevlere erişimi denetler. Nesne düzeyi izinleri bir dosya, klasör, derleme işlem hattı veya paylaşılan bir sorgu için izinleri ayarlar. İzin ayarları Izin ver, Reddet, devralınan izin ver, devralınan reddetme ve ayarlanmamış olarak gelir. Devralma hakkında daha fazla bilgi edinmek için bu makalenin ilerleyen kısımlarında bulunan izin devralma ve güvenlik grupları bölümüne bakın.

  • Erişim düzeyi yönetimi , Azure DevOps Web uygulaması olan Web portalı üzerinden sunulan özelliklere erişimi denetler. kullanıcılar, bir kullanıcı için satın alınmış olduğuna göre, yöneticiler kullanıcının erişim düzeyini temel, temel + Test, VS Enterprise (daha önce gelişmiş) veya paydaş olarak ayarlar.

Her işlevsel alan, dağıtım genelinde yönetimi basitleştirmek için güvenlik gruplarını kullanır. Kullanıcıları ve grupları Web Yönetim bağlamı aracılığıyla eklersiniz. İzinler, kullanıcıları eklediğiniz güvenlik grubuna veya grup eklediğiniz nesne, proje, koleksiyon veya sunucu düzeyine göre otomatik olarak ayarlanır.

güvenlik grubu üyeleri, kullanıcıların, diğer grupların ve Azure Active Directory gruplarının bir birleşimi olabilir.

Güvenlik grubu üyeleri, kullanıcıların, diğer grupların ve Active Directory gruplarının veya bir çalışma grubunun bir birleşimi olabilir.

Kullanıcılarınızı yönetmek içinyerel gruplar veya ACTIVE DIRECTORY (ad) grupları oluşturabilirsiniz. Grupları kullanmaya karar verirseniz, bu gruplardaki üyeliğin geçerli kullanıcılarla sınırlı olduğundan emin olun. grup üyeliği herhangi bir zamanda sahipleri tarafından değiştirilemeyeceği için, bu sahipler bu grupları oluştururken Azure DevOps Server erişimi kabul etmediyseniz, üyelikte yapılan değişiklikler sunucu içinde istenmeyen yan etkilere neden olabilir.

Çoğu Kullanıcı, erişmesi gereken özelliklere erişim sağlamak amacıyla bir proje için katkıda bulunanlar grubuna atanır. yöneticiler Project Collection administrators veya Project administrators grubuna eklenmelidir.

Active Directory ve Azure Active Directory güvenlik grupları

Her kullanıcı ekleyerek güvenlik gruplarını doldurabilirsiniz. bununla birlikte, yönetim kolaylığı için, bu grupları Azure DevOps Services ve Active Directory (AD) için Azure Active Directory (Azure AD) veya Azure DevOps Server için Windows kullanıcı grupları kullanarak doldurmanıza daha kolay olur. Bu yöntem, Grup üyeliğini ve izinlerini birden çok bilgisayarda daha verimli bir şekilde yönetmenizi sağlar.

Yalnızca küçük bir kullanıcı kümesini yönetmeniz gerekiyorsa, bu adımı atlayabilirsiniz. Bununla birlikte, kuruluşunuzun büyüyerek, AD veya Azure AD 'yi ayarlamak isteyebilirsiniz. ayrıca, ek hizmetler için ödeme yaparsanız, faturalandırmayı desteklemek için Azure DevOps Azure AD ile kullanım için ayarlamanız gerekir.

Not

Azure AD olmadan, tüm Azure DevOps kullanıcıların Microsoft hesaplarını kullanarak oturum açması gerekir ve hesap erişimini bireysel kullanıcı hesaplarıyla yönetmeniz gerekir. Hesap erişimini Microsoft hesapları kullanarak yönetseniz bile, faturalandırmayı yönetmek için bir Azure aboneliğiayarlamanız gerekir.

Azure DevOps Services birlikte kullanmak üzere Azure Active Directory ayarlamak için, bkz. Bağlan kuruluşunuzun Azure Active Directory.

Not

kuruluşunuz Azure Active Directory bağlandığında, kuruluşunuzun güvenliğini sağlamak için etkinleştirebileceğiniz veya devre dışı bırakılabilen bir dizi kuruluş ilkesi vardır. Daha fazla bilgi edinmek için bkz. güvenlik, kimlik doğrulaması ve yetkilendirme, güvenlik Ilkeleri hakkında.

Azure AD ile kurumsal erişimi yönetmek için aşağıdaki makalelere bakın:

Azure DevOps Server birlikte kullanmak üzere Active Directory ayarlamak için aşağıdaki makalelere bakın:

Genellikle, Azure DevOps Server yüklemeden önce Active Directory yüklemeniz gerekir.

Geçerli Kullanıcı grupları

Kullanıcı hesaplarını doğrudan bir güvenlik grubuna eklediğinizde, bunlar otomatik olarak geçerli kullanıcı gruplarından birine eklenir.

  • Project Koleksiyon geçerli kullanıcıları: kuruluş düzeyindeki gruplara eklenen tüm Üyeler.
  • Project Geçerli kullanıcılar: bir proje düzeyi grubuna eklenen tüm Üyeler.
  • Sunucu \ Azure DevOps Geçerli kullanıcılar: sunucu düzeyi gruplara eklenen tüm Üyeler.
  • Projectcollectionname \ Project Koleksiyon geçerli kullanıcıları: koleksiyon düzeyindeki gruplara eklenen tüm Üyeler.
  • ProjectName \ Project Geçerli kullanıcılar: proje düzeyindeki gruplara eklenen tüm Üyeler.
  • Sunucu \ Team Foundation Geçerli kullanıcıları: sunucu düzeyi gruplara eklenen tüm Üyeler.
  • Projectcollectionname \ Project Koleksiyon geçerli kullanıcıları: koleksiyon düzeyindeki gruplara eklenen tüm Üyeler.
  • ProjectName \ Project Geçerli kullanıcılar: proje düzeyindeki gruplara eklenen tüm Üyeler.

Bu gruplara atanan varsayılan izinler öncelikle, derleme kaynaklarını görüntüle, Proje düzeyi bilgileri görüntüle ve koleksiyon düzeyi bilgilerini görüntüleme gibi okuma erişimiyle sınırlıdır.

Bu, bir projeye eklediğiniz tüm kullanıcıların, bir koleksiyondaki diğer projelerdeki nesneleri görüntüleyebileceği anlamına gelir. Görünüm erişimini kısıtlamanız gerekiyorsa, alan yolu düğümü aracılığıyla kısıtlamalar ayarlayabilirsiniz.

Geçerli kullanıcılar gruplarından biri için örnek düzeyi bilgisini görüntüle iznini kaldırır veya reddederseniz, ayarladığınız gruba bağlı olarak, grubun üyesi Proje, koleksiyon veya dağıtıma erişemez.

Project kapsamlı kullanıcı grubu

Varsayılan olarak, bir kuruluşa eklenen kullanıcılar tüm kuruluş ve proje bilgilerini ve ayarlarını görüntüleyebilir. bu, kullanıcı listesini, proje listesini, faturalama ayrıntılarını, kullanım verilerini ve kuruluş Ayarlar aracılığıyla erişilen daha fazlasını görüntülemeyi içerir.

paydaşlar, konuk kullanıcılar Azure Active Directory veya belirli bir güvenlik grubunun üyeleri gibi select kullanıcılarını kısıtlamak için, kuruluş için kullanıcı görünürlüğünü sınırla özelliğini etkinleştirebilirsiniz. bu etkinleştirildikten sonra, Project kapsamı belirlenmiş kullanıcılar grubuna eklenen herhangi bir kullanıcı veya grup, genel bakış ve projeler dışında kuruluş Ayarlar sayfalarına erişmeyle kısıtlıdır; ve yalnızca eklendiği projelere erişimle kısıtlıdır.

Bu özelliği etkinleştirmek için bkz. özellikleri yönetme veya etkinleştirme.

Not

Tüm güvenlik grupları, yalnızca belirli bir proje için izinleri olan gruplar bile, kuruluş düzeyindeki varlıklardır. Web portalından, bir projeye erişimi olmayan kullanıcılar yalnızca belirli bir proje için izinleri olan grupları göremez. Ancak, Azure DevOps CLI ARACıNı veya REST API 'lerimizi kullanarak bir kuruluştaki tüm grupların adlarını bulabilirsiniz. Daha fazla bilgi için bkz. güvenlik grupları ekleme ve yönetme.

Erişim düzeyleri

Erişim düzeyleri, Web portalındaki kullanıcılara hangi özelliklerin görünür olduğunu denetler ve Kullanıcı lisanslarına bağımlıdır; izinler, kullanıcının Azure DevOps bağlanma ve Azure DevOps üzerinde özellikleri kullanma yeteneğini denetler. Bir kişiye Çevik portföy yönetimi veya test çalışması yönetimi özelliklerine erişim izni vermek istiyorsanız, izinleri değil erişim düzeylerini değiştirmekisteyeceksiniz.

Kullanıcılar veya gruplar için erişim düzeyini ayarlamak, bunlara bir proje veya Web portalı için erişim sağlamaz. Yalnızca bir takıma veya güvenlik grubuna eklenen kullanıcılar veya gruplar bir projeye ve Web portalına bağlanabilir. Kullanıcılarınızın hem izinlere hem de ihtiyaç duydukları erişim düzeyine sahip olduğundan emin olun. Bunu projeye veya takıma eklendiğindenemin olarak yapabilirsiniz.

İzinler

Aşağıdaki görüntüde gösterildiği gibi, projede ve koleksiyon düzeyinde tanımlanan güvenlik grupları nesne, proje ve kuruluş düzeyinde atanmış izinlere atanabilir.

Varsayılan güvenlik gruplarını izin düzeylerine, buluta kavramsal görüntü eşleme

Aşağıdaki görüntüde gösterildiği gibi, proje ve koleksiyon düzeyinde tanımlanan güvenlik grupları nesne, proje ve koleksiyon düzeyinde atanmış izinlere atanabilir. Sunucu düzeyindeki güvenlik gruplarını yalnızca sunucu düzeyinde izinler olarak tanımlayabilirsiniz.

Varsayılan güvenlik gruplarını şirket içi izin düzeylerine kavramsal görüntü eşleme

Güvenlik gruplarının ve izin düzeylerinin kavramsal görüntüsü, TFS-2018 ve önceki sürümler

Her varsayılan güvenlik grubunun açıklaması için bkz. Güvenlik grupları, hizmet hesapları ve izinler.

İzin durumları

İzine beş olası atama yapılır. Belirtilen şekilde erişim izni veya kısıtlaması sağlarlar.

  • Kullanıcı veya grubun bir görevi gerçekleştirme izinleri vardır:
    • İzin Ver
    • Devralınan izin
  • Kullanıcının veya grubun bir görevi gerçekleştirme izni yok:
    • Reddetme
    • Devralınan reddetme
    • Ayarlı değil

İzin ayarları hakkında şunları bilmek gerekir:

  • İzin Ver veya Reddet, kullanıcıların belirli görevleri gerçekleştirmelerini açıkça sağlar veya kısıtlar ve genellikle grup üyeliğinden devralınmış olur.

  • Ayarlanmaz, kullanıcıların bu izni gerektiren görevleri gerçekleştirme becerisini örtülü olarak reddeder, ancak bu izin kümesine sahip olan bir gruptaki üyeliklere İzin Ver (devralındı) veya Devralınmış izin verme ve Reddet (devralınmış) veya Devralınmış reddetme olarak da bilinir) öncelik almaya izin verir.

  • Çoğu grup ve neredeyse tüm izinler için Reddet, İzin Ver'i geçersiz kılar. Bir kullanıcı iki gruba aitse ve bunlardan biri Reddetme olarak ayarlanmış belirli bir izine sahipse, bu kullanıcı, İzin Ver olarak ayarlanmış bir gruba ait olsa bile bu izni gerektiren görevleri gerçekleştiramaz.

    Bazı durumlarda, Project Koleksiyon Yöneticileri veya Team Foundation Administrators gruplarının üyeleri, farklı bir grupta bu izin reddedilmiş olsalar bile her zaman izin alsalar bile bu izni alsalar. İş öğesi silme veya işlem hatları gibi diğer durumlarda, proje koleksiyonu yöneticilerinin bir üyesi olmak, başka bir yerde ayarlanmış Reddetme izinlerini atlamaz.

  • Bir grubun iznini değiştirmek, o grubun üyesi olan tüm kullanıcılar için bu izni değiştirir. Başka bir deyişle, grubun boyutuna bağlı olarak, yalnızca bir izni değiştirerek yüzlerce kullanıcının işlerini yapma becerisini etkileyebilirsiniz. Bu nedenle, değişiklik öncesinde etkisini anlayasınız.

İzin devralma ve güvenlik grupları

Bazı izinler hiyerarşi üzerinden yönetilir. Bu hiyerarşide izinler üst öğeden devralınabilir veya geçersiz kılınabilir. Güvenlik grupları, grubun bu üyelerine bir dizi izin atar. Örneğin, Katkıda Bulunanlar grubunun veya Project Administrators grubunun üyelerine, bu gruplara İzin Verildi olarak ayarlanmış izinler atanır.

Bir kullanıcı için bir izine doğrudan izin verilmiyor veya reddedilmiyorsa, iki şekilde devralınabilir.

  • Kullanıcılar ait olduğu gruplardan izinleri devralabilir. Bir kullanıcı için doğrudan veya bu izni olan bir gruptaki üyelik aracılığıyla izin verilmiyorsa ve bu izin doğrudan veya grup üyeliği aracılığıyla reddedilirse, izin reddedilir.

    Koleksiyon yöneticilerinin Project Team Foundation Yöneticileri, bu izinleri reddeden diğer gruplara ait olsalar bile izin verilen en fazla izinleri korur. İş öğesi işlem izinleri bu kuralın özel durumudur.

  • Bir hiyerarşinin düğümleri için atanan nesne düzeyi izinler (alanlar, yinelemeler, sürüm denetimi klasörleri, iş öğesi sorgu klasörleri) hiyerarşinin altında devralınmış olur. Başka bir ifadeyle, için aynı izin açıkça izin verilmezse veya reddedilirse, bir kullanıcının olarak ayarlanmış izinleri tarafından area-1 area-1/sub-area-1 devralınmış area-1/sub-area-1 olur. gibi bir nesne için açıkça bir izin ayarlanırsa, reddedilen veya izin verilenden bağımsız olarak üst düğüm area-1/sub-area-1 devralınmaz. Ayarlanmazsa, o düğümün izinleri açıkça ayarlanmış izni olan en yakın üst düğümden devralınmış olur. Son olarak, nesne hiyerarşisinde, belirlilik devralmaya neden olur. Örneğin, izinleri 'alan-1' üzerinde açıkça Reddet olarak ayarlanmış ancak 'alan-1/alt alan-1' için açıkça İzin Ver olarak ayarlanmış bir kullanıcı sonunda 'alan-1/alt-alan-1' üzerinde İzin Ver alır.

bir iznin neden devralınmış olduğunu anlamak için bir izin ayarı üzerinden duraklatabilir ve ardından Neden?'i seçebilirsiniz. Güvenlik sayfasını açmak için bkz. İzinleri görüntüleme.

Not

Project permissions Ayarlar sayfasında yeni kullanıcı arabirimini etkinleştirmek için bkz. Önizleme özelliklerini etkinleştirme.

İzinler iletişim kutusu, önizleme sayfası, Neden bağlantı ek açıklamalı?

Bu iznin devralma bilgilerini gösteren yeni bir iletişim kutusu açılır.

Project permissions Ayarlar Sayfasının önizleme kullanıcı arabirimi, Azure DevOps Server 2020 ve önceki sürümlerde kullanılamaz.

İzin atarken

Şunları yap:

  • Çok Azure Active Directory, Active Directory veya Windows güvenlik gruplarını kullanın.
  • Ekip eklerken, alan yolları, yineleme yolları ve sorgular oluşturması ve değiştirmesi gerektirecek ekip adaylarına, scrum master'larına ve diğer ekip üyelerine hangi izinleri atamak istediğinize dikkat olun.
  • Çok sayıda takım eklerken, Yöneticiler için kullanılabilir izinlerin bir alt kümesini ayırarak bir Takım Yöneticileri özel Project düşünün.
  • İş öğesi sorgu klasörlerini projeye yönelik iş öğesi sorguları oluşturma ve paylaşma yeteneği gerektiren kullanıcılara veya gruplara katkıda bulun iznini verebilirsiniz.

Yapma:

  • Project Collection Administrators grubuna veya Project yöneticisi grubuna herhangi bir düzeyde Reddetme izni atamazsınız
  • Farklı izin düzeyleri içeren birden çok güvenlik grubu için kullanıcı ekleme. Bazı durumlarda, Reddetme izin düzeyi İzin Ver izin düzeyini geçersiz k olabilir.
  • Geçerli kullanıcı gruplarına yapılan varsayılan atamaları değiştirme. Geçerli Kullanıcılar gruplarından biri için Örnek düzeyinde bilgileri görüntüle iznini kaldırır veya Reddet olarak ayarlarsanız, ayar seçtiğiniz gruba bağlı olarak gruptaki hiçbir kullanıcı projeye, koleksiyona veya dağıtıma erişamaz.
  • Kullanıcı hesaplarına 'Yalnızca hizmet hesaplarına ata' olarak not verilen izinleri atamayın.

Rol tabanlı izinler

Rol tabanlı izinlerle, kullanıcı hesapları bir role atanır ve her role bir veya daha fazla izin atanır. Daha fazla bilgi edinmek için birincil roller ve bağlantılar buradadır.

  • Yapıt veya paket akışı güvenlik rolleri:Roller, paket akışlarını düzenlemek ve yönetmek için çeşitli izin düzeylerini destekler.

  • Market uzantısı Yöneticisi rolü:Yönetici rolünün üyeleri uzantıları yükleyebilir ve uzantıların yüklenme isteklerine yanıt verir.

  • İşlem hattı güvenlikrolleri: Kitaplık kaynaklarını, proje düzeyi ve koleksiyon düzeyinde işlem hattı kaynaklarını yönetmek için birkaç rol kullanılır.

  • Takım yöneticisi rolü Takım yöneticileri tüm takım araçlarını yönetebilir.

    Not

    Project Yöneticileri veya Project Koleksiyon Yöneticileri gruplarının üyeleri, tüm ekipler için tüm takım araçlarını yönetebilir.

Özellik bayrakları

Seçme erişimi, yeni özellikler özellik bayraklarıyla denetleniyor. Belirli aralıklarla Azure DevOps Services, bunları bir özellik bayrağının arkasına yerleştirerek yeni özellikler sunar. Özel önizleme altındaki özellikler için kuruluş sahibinin özelliğin açık olması isteği gerekir. Diğer özellikler, genel kullanıcıların etkinleştiren veya devre dışı bırakarak etkinleştiren bir önizleme özelliği olarak tanıtabilirsiniz.

Daha fazla bilgi edinmek için bkz. Özellikleri yönetme veya etkinleştirme.

Sonraki adımlar