Güvenlik, kimlik doğrulaması ve yetkilendirme hakkında

  • Makale
  • Okumak için 9 dakika

Hesap türleri

  • Kullanıcılar
  • Kuruluş sahibi
  • Hizmet hesapları
  • Hizmet sorumluları
  • İş aracıları

Kimlik Doğrulaması

  • Kullanıcı kimlik bilgileri
  • Windows kimlik doğrulaması
  • İki faktörlü kimlik doğrulaması (2FA)
  • SSH anahtarı kimlik doğrulaması
  • Kişisel erişim belirteçleri
  • Oauth yapılandırması
  • Active Directory kimlik doğrulama kitaplığı

Yetkilendirme

  • Güvenlik grubu üyeliği
  • Rol tabanlı erişim denetimi
  • Erişim düzeyleri
  • Özellik bayrakları
  • Güvenlik ad alanları & izinleri

İlkeler

  • Gizlilik ilkesi URL'si
  • Uygulama bağlantısı ve güvenlik ilkeleri
  • Kullanıcı ilkeleri
  • Git deposu ve dal ilkeleri

Hesap türleri

  • Kullanıcılar
  • Hizmet hesapları
  • Hizmet sorumluları
  • İş aracıları

Kimlik Doğrulaması

  • Kullanıcı kimlik bilgileri
  • Windows kimlik doğrulaması
  • İki faktörlü kimlik doğrulaması (2FA)
  • SSH anahtarı kimlik doğrulaması
  • Kişisel erişim belirteçleri
  • Oauth yapılandırması
  • Active Directory kimlik doğrulama kitaplığı

Yetkilendirme

  • Güvenlik grubu üyeliği
  • Rol tabanlı izinler
  • Erişim düzeyleri
  • Özellik bayrakları
  • Güvenlik ad alanları & izinleri

İlkeler

  • Git deposu ve dal ilkeleri

Önemli

Azure DevOps 2 Mart 2020'den itibaren Alternatif Kimlik Bilgileri kimlik doğrulamasını desteklemez. Hala Alternatif Kimlik Bilgileri kullanıyorsanız, daha güvenli bir kimlik doğrulama yöntemine (örneğin, kişisel erişim belirteçleri) geçmenizi kesinlikle tavsiye edersiniz. Daha fazla bilgi edinin.

Hem bulut hizmetimiz hem Azure DevOps Services hem de şirket içi sunucumuz Azure DevOps Server planlamadan dağıtıma kadar yazılım geliştirme projelerini destekler. Azure DevOps geliştirme projeleriniz için güvenilir ve küresel olarak kullanılabilir bir hizmet sunmak için Microsoft Azure'ın Hizmet Olarak Platform altyapısını ve Azure SQL veritabanları dahil olmak üzere Birçok Azure hizmetini kullanır.

Microsoft'un projelerinizi güvenli, kullanılabilir, güvenli ve özel Azure DevOps Services korumak için attığı adımlar hakkında daha fazla bilgi edinmek için bu teknik incelemeye bakın, Azure DevOps Services Genel Bakış.

Hesaplar

İlgi alanı olan ana hesap türleri, kuruluş veya projenize ekley istediğiniz kullanıcı hesaplarıdır ancak Azure DevOps çeşitli işlemleri gerçekleştirmek için diğer hesap türlerini destekler. Bunlar aşağıdaki hesap türlerini içerir.

  • Kuruluş sahibi:Bir kuruluşun veya Azure DevOps Services sahibinin oluşturucusu. Kuruluş sahibini öğrenmek için bkz. İzinlerinizi artırma; yönetici bulma.
  • Hizmet hesapları:Aracı Azure DevOps Hizmeti, PipelinesSDK gibi belirli bir hizmeti desteklemek için kullanılan dahili hesap hesapları. Hizmet hesaplarının açıklamaları için bkz. Güvenlik grupları, hizmet hesapları ve izinler.
  • Hizmet sorumluları:İç Azure DevOps desteklemek için dahili hesaplar.
  • İş aracıları:Belirli işleri düzenli bir zaman çizelgesiyle çalıştırmak için kullanılan dahili hesaplar.
  • Üçüncü taraf hesapları:Web kancalarını, hizmet bağlantılarını veya diğer üçüncü taraf uygulamaları desteklemek için erişim gerektiren hesaplar.
  • Hizmet hesapları:Aracı Azure DevOps Hizmeti, PipelinesSDK gibi belirli bir hizmeti desteklemek için kullanılan dahili hesap hesapları. Hizmet hesaplarının açıklamaları için bkz. Güvenlik grupları, hizmet hesapları ve izinler.
  • Hizmet sorumluları:İç Azure DevOps desteklemek için dahili hesaplar.
  • İş aracıları:Belirli işleri düzenli bir zaman çizelgesiyle çalıştırmak için kullanılan dahili hesaplar.
  • Üçüncü taraf hesapları:Web kancalarını, hizmet bağlantılarını veya diğer üçüncü taraf uygulamaları desteklemek için erişim gerektiren hesaplar.

Hesapları yönetmek için en etkili olan, bunları güvenlik gruplarına eklemektir.

Not

Koleksiyon Yöneticileri grubunun kuruluş sahibi Project üyelerine tüm özelliklere ve işlevlere tam erişim izni verildi.

Kimlik Doğrulaması

Kimlik doğrulaması, bir hesap kimliğini, oturum açma bilgileriyle birlikte sağlanan kimlik bilgilerine göre Azure DevOps. Bu sistemler ile tümleştirildi ve bu ek sistemler tarafından sağlanan güvenlik özelliklerine güvenmektedir:

  • Azure Active Directory (Azure AD)
  • Microsoft hesabı (MSA)
  • Active Directory (AD)

Azure AD ve MSA, bulut kimlik doğrulamasını destekler. Büyük bir kullanıcı grubunu yönetmeniz gerekirken Azure AD'nin kullanılması önerilir. Aksi takdirde, Azure DevOps'da kuruluşa erişen küçük bir kullanıcı tabanınız varsa Microsoft hesaplarını kullanabilirsiniz. Daha fazla bilgi için bkz. Azure DevOps (Azure AD) Azure Active Directory erişim hakkında.

Şirket içi dağıtımlar için, büyük bir kullanıcı grubu yönetilecekken AD önerilir. Ek bilgi için bkz. Şirket içi dağıtımlarda kullanmak üzere grupları ayarlama.

Kimlik doğrulama yöntemleri, diğer hizmetler ve uygulamalarla tümleştirme

Diğer uygulamalar ve hizmetler, hizmetlerde ve kaynaklarda Azure DevOps. Uygulamalar, kullanıcı kimlik bilgilerini birden çok kez istemeden hesabınıza erişmek için aşağıdaki kimlik doğrulama yöntemlerini kullanabilir.

  • Belirteç oluşturmak için kişisel erişim belirteçleri:

    • Derlemeler veya iş öğeleri gibi belirli kaynaklara veya etkinliklere erişme
    • Xcode ve NuGet temel kimlik bilgileri olarak kullanıcı adı ve parola gerektiren ve çok faktörlü kimlik doğrulaması gibi Microsoft hesabı ve Azure Active Directory özelliklerini desteklemeyen istemciler
    • Azure DevOps REST API'lere erişme

  • REST API'lere erişmek için belirteçler oluşturmak içinOAuth. Hesaplar ve ProfillerAPI'leri yalnızca OAuth'ı destekler.

  • Linux, macOS veya Windows için Git'i Windows ve HTTPS kimlik doğrulaması için Git kimlik bilgileri yöneticilerini veya kişisel erişim belirteçlerini kullanamayabilirsiniz.

Varsayılan olarak, hesabınız veya koleksiyonunuz tüm kimlik doğrulama yöntemlerine erişim sağlar. Erişimi sınırlaya bilebilirsiniz, ancak her yöntem için erişimi özellikle kısıtlamalısiniz. Bir kimlik doğrulama yöntemine erişimi reddedersiniz, hiçbir uygulama hesabınıza erişmek için bu yöntemi kullanamaz. Daha önce erişimi olan herhangi bir uygulama kimlik doğrulaması hatası alır ve hesabınıza erişez.

Kimlik bilgilerinizi nasıl depolaymız hakkında daha fazla bilgi edinmek için bkz. Azure DevOps.

Doğru kimlik doğrulama mekanizmasını seçme hakkında daha fazla bilgi edinmek için bkz. Kimlik doğrulaması kılavuzu.

Yetkilendirme

Yetkilendirme, bağlanmaya çalışan kimliğin bir hizmete, özelliğe, işleve, nesneye veya yönteme erişmek için gerekli izinlere sahip olduğunu doğrular. Yetkilendirme her zaman başarılı kimlik doğrulamasının ardından gerçekleşir. Bağlantının kimliği doğrulanmamışsa, herhangi bir yetkilendirme denetimi gerçekleştirilmeden önce bağlantı başarısız olur. Bir bağlantının kimlik doğrulaması başarılı olursa, kullanıcının veya grubun bu eylemi gerçekleştirme yetkisine sahip olması nedeniyle belirli bir eyleme yine de izin verilmiyor olabilir.

Yetkilendirme, hesaba atanan izinlere bağlıdır. İzinler doğrudan bir hesaba veya bir güvenlik grubu ya da güvenlik rolü üyeliği aracılığıyla verilen izinlerdir. Erişim düzeyleri ve özellik bayrakları da bir özelle ilgili erişim izni veya kısıtlar. Bu yetkilendirme yöntemleri hakkında daha fazla bilgi edinmek için bkz. Kullanmaya başlayın, erişim ve güvenlik gruplarıyla çalışma.

Güvenlik ad alanları ve izinleri

Güvenlik ad alanları, belirli bir kaynak üzerinde belirli bir Azure DevOps gerçekleştirmek zorunda olduğu erişim düzeyini belirleyen verileri depolar. İş öğeleri veya Git depoları gibi her kaynak ailesi benzersiz bir ad alanı aracılığıyla güvenli hale gelir. Her güvenlik ad alanı sıfır veya daha fazla erişim denetim listesi (ACL) içerir. Her ACL bir belirteç, devralma bayrağı ve sıfır veya daha fazla erişim denetimi girdisi (ACL) kümesi içerir. Her ACE bir kimlik tanımlayıcısı, izin verilen izinler bit maskesi ve reddedilen izinler bit maskesi içerir.

Daha fazla bilgi için bkz. Güvenlik ad alanları ve izin başvurusu.

Güvenlik ilkeleri

Kuruluş ve kodunuzun güvenliğini sağlamak için bir dizi ilke ayarlayın. Özellikle, aşağıdaki ilkeleri etkinleştir veya devre dışı bırak:

Genel

Uygulama bağlantısı ve güvenlik ilkeleri

  • OAuth üzerinden üçüncü taraf uygulama erişimi:Etkinleştirildiğinde, üçüncü taraf uygulamaların OAuth kullanarak bağlanmasına izin verir. Daha fazla bilgi edinmek için bkz. Kurum için uygulama bağlantısı güvenlik ilkelerini değiştirme.
  • SSH kimlik doğrulaması erişimi:Etkinleştirildiğinde uygulamaların SSH kimlik doğrulaması kullanarak bağlanmasına izin verir. Daha fazla bilgi edinmek için bkz. Kurum için uygulama bağlantısı güvenlik ilkelerini değiştirme.
  • Ortak projelereizin ver: Etkinleştirildiğinde, kullanıcılar projenin üyesi olmayanlara ve projenin yapıtlarına ve hizmetlerine salt okunur, sınırlı erişime sahip olmayan kullanıcılara izin veren genel projeler oluşturabilir. Daha fazla bilgi için, Projenizi genel yapma veProjelerinize anonim erişimi etkinleştirme hakkında daha fazla bilgi için.
  • Azure AD kiracı ilkesi aracılığıyla kuruluş oluşturmayı kısıtlama ( Yalnızca kuruluş Azure Active Directory tarafından desteklenirkengeçerlidir.): Etkinleştirildiğinde, kullanıcıların Azure AD tarafından otomatik olarak Azure DevOps ek Azure DevOps kuruluş oluşturmalarını kısıtlar. Etkinleştirmeyi öğrenmek için bkz. Azure AD kiracı ilkesi aracılığıyla kuruluş oluşturma kısıtlama.
  • Azure Active Directory (Azure AD) Koşullu Erişim İlkesi (CAP) doğrulamasını etkinleştirme ( Yalnızca kuruluş Azure Active Directory tarafından destekleildiğindegeçerlidir.): Etkinleştirildiğinde, kuruluşa erişim için ek koşullar ayarlamanıza olanak sağlar. Kullanıcının hangi koşulları karşılarsa, çok faktörlü kimlik doğrulaması, ek denetimler veya erişimi engellemesi gerekir. Bu ilke varsayılan olarak kapalı olarak ayarlanır ve yalnızca alternatif kimlik bilgileri için geçerlidir. Bu ilke, Azure AD'de ayarlanmış CAP'lar için geçerli değildir ve Azure DevOps. Daha fazla bilgi edinmek için bkz. Kurum için uygulama bağlantısı güvenlik ilkelerini değiştirme.

Kullanıcı ilkeleri

  • Dış konuk erişimi ( Yalnızca kuruluş Azure Active Directory tarafından desteklendikten sonrageçerlidir.): Etkinleştirildiğinde, kullanıcılar sayfasından kiracının üyesi olmayan kullanıcıların e-posta hesaplarına davet Azure Active Directory gönderilebilir. Daha fazla bilgi edinmek için bkz. Dış kullanıcıları kuruluşa ekleme.
  • Takım ve proje yöneticilerinin yeni kullanıcıları davet etmelerine izin ver:Yalnızca kuruluş yeni kullanıcılar tarafından Azure Active Directory. Etkinleştirildiğinde, takım ve proje yöneticileri Kullanıcılar sayfasından kullanıcı ekleyebilir. Daha fazla bilgi edinmek için bkz. Yeni kullanıcı davetlerini Project Ve Takım Yöneticileri ile kısıtlama.
  • Erişim isteği:Yalnızca kuruluş bir kullanıcı tarafından destek Azure Active Directory. Etkinleştirildiğinde, kullanıcılar bir kaynağa erişim isteğinda olabilir. bir istek, gerektiğinde yöneticilere gözden geçirme ve erişim isteyen bir e-posta bildirimi ile sonuç verir. Daha fazla bilgi edinmek için bkz. Dış kullanıcıları kuruluşa ekleme.
  • Kullanıcı GitHub davetet: Yalnızca kuruluş bir kullanıcı tarafından destek Azure Active Directory. Etkinleştirildiğinde, yöneticiler Kullanıcılar sayfasından kendi GitHub hesaplarına göre kullanıcılar ekleyebilir. Daha fazla bilgi için bkz. Davet eden kullanıcıların GitHub hakkında SSS.

Project-Scoped Kullanıcıları grubu

Varsayılan olarak, bir kuruluşa eklenen kullanıcılar tüm kuruluş ve proje bilgilerini ve ayarlarını görüntülemeye devam edebilirsiniz. Buna kullanıcı listesi, proje listesi, faturalama ayrıntıları, kullanım verileri ve Kuruluş verileri aracılığıyla erişilen daha birçok Ayarlar.

Paydaşlar, konuk kullanıcılar Azure Active Directory belirli bir güvenlik grubunun üyeleri gibi belirli kullanıcıları kısıtlamak için kuruluş için Projeler için kullanıcı görünürlüğünü sınırla önizleme özelliğini etkinleştirebilirsiniz. Etkinleştirildikten sonra, Project Kapsamlı Kullanıcılar grubuna eklenen herhangi bir kullanıcı veya grup aşağıdaki yollarla kısıtlanır:

  • Yalnızca kuruluş kuruluşlarının Genel Bakışve Projelersayfalarına Ayarlar.
  • Yalnızca açıkça eklendikleri projelere bağlanarak ve bu projeleri görüntülemeye devam ediyor (bkz. Bir projeye veya ek takıma kullanıcı ekleme).
  • Yalnızca bağlı olduğu projeye açıkça eklenmiş kullanıcı ve grup kimliklerini seçin.

Projeler için kullanıcı görünürlüğünü sınırlama hakkında daha fazla bilgi edinmek içinbkz. Projeler hakkında, Projeler için kullanıcı görünürlüğünü sınırlama. Özelliği etkinleştirmek için bkz. Özellikleri yönetme veya etkinleştirme.

Git deposu ve dal ilkeleri

Kodunuzun güvenliğini sağlamak için bir dizi Git deposu ve dal ilkeleri ayarlayın. Daha fazla bilgi edinmek için aşağıdaki makalelere bakın.

Azure Repos ve Azure Pipelines güvenlik

Depolar ve derleme ve yayın işlem hatları benzersiz güvenlik zorluklarına neden olduğu için, bu makalede tartışılanların ötesinde ek özellikler kullanılır. Daha fazla bilgi edinmek için aşağıdaki makalelere bakın.

Sonraki adımlar

İzinler ve gruplar başvurusu

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Azure DevOps, yalnızca özelliklere, işlevlere ve verilere erişimi olması gerekenlerin erişime sahip olmasını sağlamak için bir dizi güvenlik kavramına sahiptir. Hesaplar, güvenlik kimlik Azure DevOps kimlik doğrulaması ve bir özellik veya işleve erişmek için hesap yetkilendirmeleri aracılığıyla erişim elde ediyor.

Bu makalede, izinler, erişim ve Kullanmaya başlayın ile ilgili bilgiler verilmektedir. Yöneticiler hesap türlerini, kimlik doğrulama yöntemlerini, yetkilendirme yöntemlerini ve kimlik doğrulama yöntemlerinin güvenliğini sağlamak için kullanılan ilkeleri Azure DevOps.