Güvenlik, kimlik doğrulaması ve yetkilendirme hakkında

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Azure DevOps, yalnızca özelliklere, işlevlere ve verilere erişimi olması gereken kullanıcıların erişimi olduğundan emin olmak için birçok güvenlik kavramını devreye alır. Hesaplar, güvenlik kimlik bilgilerini kimlik doğrulaması ve bir özelliğe veya işleve erişmek için hesap yetkilendirmelerini yetkilendirme yoluyla Azure DevOps'a erişim elde eder.

Bu makale, İzinleri, erişimi ve güvenlik gruplarını kullanmaya başlama bölümünde sağlanan bilgileri oluşturur. Yönetici istrator'lar Azure DevOps'un güvenliğini sağlamak için kullanılan hesap türlerini, kimlik doğrulama yöntemlerini, yetkilendirme yöntemlerini ve ilkeleri anlama avantajından yararlanıyor.

---

Hesap türleri

• Kullanıcılar
• Kuruluş sahibi
• Hizmet hesapları
• Hizmet sorumluları veya yönetilen kimlikler
• İş aracıları

Kimlik Doğrulaması

• Kullanıcı kimlik bilgileri
• Windows kimlik doğrulması
• İki öğeli kimlik doğrulaması (2FA)
• SSH anahtarı kimlik doğrulaması
• Kişisel erişim belirteçleri
• Oauth yapılandırması
• Active Directory kimlik doğrulama kitaplığı

Yetkilendirme

• Güvenlik grubu üyeliği
• Rol tabanlı erişim denetimi
• Erişim düzeyleri
• Özellik bayrakları
• Güvenlik ad alanları ve izinleri

İlkeler

• Gizlilik ilkesi URL'si
• Uygulama bağlantısı ve güvenlik ilkeleri
• Kullanıcı ilkeleri
• Git deposu ve dal ilkeleri

---

Önemli

Azure DevOps, 2 Mart 2020'nin başından bu yana Artık Alternatif Kimlik Bilgileri kimlik doğrulamasını desteklememektedir. Hala Alternatif Kimlik Bilgileri kullanıyorsanız, daha güvenli bir kimlik doğrulama yöntemine (örneğin, kişisel erişim belirteçleri) geçmenizi kesinlikle öneririz. Daha fazla bilgi edinin.

Hem bulut hizmetimiz, Azure DevOps Services hem de şirket içi sunucumuz Azure DevOps Server, planlamadan dağıtıma kadar yazılım geliştirme projelerini destekler. Azure DevOps, geliştirme projeleriniz için güvenilir ve küresel olarak kullanılabilir bir hizmet sunmak için Microsoft Azure'ın Hizmet Olarak Platform altyapısını ve Azure SQL veritabanları dahil olmak üzere Azure'ın birçok hizmetini kullanır.

Microsoft'un Azure DevOps Services'te projelerinizi güvenli, kullanılabilir, güvenli ve özel tutmak için uyguladığı adımlar hakkında daha fazla bilgi için Azure DevOps Services Veri Koruması'na Genel Bakış teknik incelemesine bakın.

Hesaplar

İlgi çekici hesapların ana türleri, kuruluşunuza veya projenize eklediğiniz insan kullanıcı hesapları olsa da, Azure DevOps çeşitli işlemleri gerçekleştirmek için diğer hesap türlerini destekler. Bunlar aşağıdaki hesap türlerini içerir.

• Kuruluş sahibi: Azure DevOps Services kuruluşunun veya atanan sahibin oluşturucusu. Kuruluşunuzun sahibini öğrenmek için bkz . Kuruluş sahibini arama.
• Hizmet hesapları: Aracı Havuzu Hizmeti, PipelinesSDK gibi belirli bir hizmeti desteklemek için kullanılan iç Azure DevOps hesapları. Hizmet hesaplarının açıklamaları için bkz . Güvenlik grupları, hizmet hesapları ve izinler.
• Hizmet sorumluları veya yönetilen kimlikler: Üçüncü taraf bir uygulama adına eylemler gerçekleştirmek üzere kuruluşunuza eklenen Microsoft Entra uygulamaları veya yönetilen kimlikler . Bazı hizmet sorumluları, iç işlemleri desteklemek için iç Azure DevOps hesaplarına başvurur.
• İş aracıları: Belirli işleri düzenli bir zamanlamaya göre çalıştırmak için kullanılan iç hesaplar.
• Üçüncü taraf hesapları: Web kancalarını, hizmet bağlantılarını veya diğer üçüncü taraf uygulamalarını desteklemek için erişim gerektiren hesaplar.

Bu belgeler boyunca, kullanıcılar Kullanıcı Merkezi'ne eklenen ve insan kullanıcıları ve hizmet sorumlularını içerebilen tüm kimliklere başvurabilir.

Hesapları yönetmek için en etkili yol, bunları güvenlik gruplarına eklemektir.

Not

Kuruluş sahibine ve Proje Koleksiyonu Yönetici istrators grubunun üyelerine tüm özelliklerin ve işlevlerin çoğuna tam erişim verilir.

Kimlik Doğrulaması

Kimlik doğrulaması, Azure DevOps'ta oturum açtıklarında sağlanan kimlik bilgilerine göre bir hesap kimliğini doğrular. Bu sistemler, bu diğer sistemler tarafından sağlanan güvenlik özellikleriyle tümleşir ve bu özelliklere güvenir:

• Microsoft Entra Kimlik
• Microsoft hesabı (MSA)
• Active Directory (AD)

Microsoft Entra Id ve MSA, bulut kimlik doğrulamayı destekler. Büyük bir kullanıcı grubunu yönetmeniz gerektiğinde Microsoft Entra Id'yi öneririz. Aksi takdirde, Azure DevOps'ta kuruluşunuza erişen küçük bir kullanıcı tabanınız varsa Microsoft hesaplarını kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra Id ile Azure DevOps'a erişme hakkında.

Şirket içi dağıtımlar için, büyük bir kullanıcı grubu yönetilirken AD önerilir. Daha fazla bilgi için bkz . Şirket içi dağıtımlarda kullanılacak grupları ayarlama.

Kimlik doğrulama yöntemleri, diğer hizmetler ve uygulamalarla tümleştirme

Diğer uygulamalar ve hizmetler Azure DevOps’daki hizmetler ve kaynaklarla tümleştirilebilir. Uygulamalar birkaç kez kullanıcı kimlik bilgilerini sormadan hesabınıza erişmek için aşağıdaki kimlik doğrulama yöntemlerini kullanabilir.

• Kendiniz adına belirteç oluşturmak için kişisel erişim belirteçleri:

  • Derlemeler ve çalışma öğeleri gibi belirli kaynaklara veya etkinliklere erişme
  • Temel kimlik bilgileri olarak kullanıcı adı ile parola gerektiren ve çok faktörlü kimlik doğrulaması gibi Microsoft hesabı ve Microsoft Entra özelliklerini desteklemeyen Xcode ve NuGet gibi istemciler
  • Azure DevOps REST API’lerine erişme

• REST API'lerine erişmek üzere kullanıcılar adına belirteçler oluşturmak için Azure DevOps OAuth. Hesaplar ve Profiller API’leri yalnızca OAuth’u destekler.

• Linux, macOS veya Windows kullanıyor, Windows için Git çalıştırıyor ve HTTPS kimlik doğrulaması için Git kimlik bilgileri yöneticilerini veya kişisel erişim belirteçlerini kullanamıyorsanız, kendiniz için şifreleme anahtarları oluşturmak için SSH kimlik doğrulaması.

• Genellikle Azure DevOps kaynaklarına erişmesi gereken bazı iş akışlarını otomatik hale getiren bir uygulama veya hizmet adına Microsoft Entra belirteçleri oluşturmak için hizmet sorumluları veya yönetilen kimlikler . Geleneksel olarak hizmet hesabı ve PAT tarafından yapılan eylemlerin çoğu, hizmet sorumlusu veya yönetilen kimlik kullanılarak gerçekleştirilebilir.

Varsayılan olarak hesabınız veya koleksiyonunuz tüm kimlik doğrulama yöntemlerine erişim sağlar. Erişimi sınırlayabilirsiniz ama her yöntem için erişimi özel olarak kısıtlamanız gerekir. Bir kimlik doğrulama yöntemine erişimi reddettiğinizde, hiçbir uygulama hesabınıza erişmek için bu yöntemi kullanamaz. Daha önce erişimi olan uygulamalar bir kimlik doğrulama hatası alır ve hesabınıza erişemez.

Kimlik bilgilerinizi nasıl depoladığımız hakkında daha fazla bilgi için bkz . Azure DevOps için kimlik bilgileri depolama.

Doğru kimlik doğrulama mekanizmasını seçme hakkında daha fazla bilgi için bkz . Kimlik doğrulama kılavuzu.

Yetkilendirme

Yetkilendirme, bağlanmaya çalışan kimliğin bir hizmete, özelliğe, işleve, nesneye veya yönteme erişmek için gerekli izinlere sahip olduğunu doğrular. Yetkilendirme her zaman başarılı kimlik doğrulaması sonrasında gerçekleşir. Bağlantının kimliği doğrulanmamışsa, herhangi bir yetkilendirme denetimi gerçekleştirilmeden önce bağlantı başarısız olur. Bir bağlantının kimlik doğrulaması başarılı olursa, kullanıcının veya grubun bu eylemi gerçekleştirmek için yetkilendirmesi olmadığından belirli bir eyleme izin verilmeyebilir.

Yetkilendirme, hesaba atanan izinlere bağlıdır. İzinler doğrudan bir hesaba veya bir güvenlik grubu veya güvenlik rolü üyeliği aracılığıyla verilir. Erişim düzeyleri ve özellik bayrakları da bir özelliğe erişim verebilir veya bu özelliğe erişimi kısıtlayabilir. Bu yetkilendirme yöntemleri hakkında daha fazla bilgi için bkz . İzinleri, erişimi ve güvenlik gruplarını kullanmaya başlama.

Güvenlik ad alanları ve izinleri

Güvenlik ad alanları, Azure DevOps hesaplarının belirli bir kaynak üzerinde belirli bir eylemi gerçekleştirmek için sahip olduğu erişim düzeyini belirleyen verileri depolar. İş öğeleri veya Git depoları gibi her kaynak ailesi benzersiz bir ad alanı aracılığıyla güvenli hale getirilir. Her güvenlik ad alanı sıfır veya daha fazla erişim denetimi listesi (ACL) içerir. Her ACL bir belirteç, devralma bayrağı ve sıfır veya daha fazla erişim denetimi girdisi (ACL) kümesi içerir. Her ACE bir kimlik tanımlayıcısı, izin verilen izinler bit maskesi ve reddedilen izinler bit maskesi içerir.

Daha fazla bilgi için bkz . Güvenlik ad alanları ve izin başvurusu.

Güvenlik ilkeleri

Kuruluşunuzun ve kodunuzun güvenliğini sağlamak için birçok ilke ayarlayabilirsiniz. Özellikle aşağıdaki ilkeleri etkinleştirebilir veya devre dışı bırakabilirsiniz:

Genel

• Gizlilik ilkesi URL'si: Hem iç hem de dış konuk verilerinin gizliliğini nasıl işlediğinizi açıklayan özel belgenize bağlanan bir URL belirtir. Daha fazla bilgi için bkz . Kuruluşunuz için gizlilik ilkesi URL'si ekleme.

Uygulama bağlantısı ve güvenlik ilkeleri

Yeni kuruluş oluşturmayı yalnızca istenen kullanıcılarla kısıtlamak için Microsoft Entra kiracı ilkesini kullanın. Bu ilke varsayılan olarak kapalıdır ve yalnızca kuruluş Microsoft Entra Id'ye bağlı olduğunda geçerlidir. Daha fazla ayrıntı için Kuruluş oluşturmayı kısıtlama'ya bakın.

Aşağıdaki ilkeler, kullanıcılarınıza ve uygulamalarınıza kuruluşunuza vermek istediğiniz erişimi belirler:

• OAuth aracılığıyla üçüncü taraf uygulama erişimi.
• SSH kimlik doğrulaması erişimi.
• Ortak projelere izin ver: Kullanıcılar etkinleştirildiğinde, projenin üye olmayanlarına ve salt okunur oturum açmamış kullanıcılara projenin yapıtlarına ve hizmetlerine sınırlı erişim sağlayan ortak projeler oluşturabilir. Daha fazla bilgi için bkz . Projenizi genel kullanıma açma.
• Denetim olaylarını günlüğe kaydetme - Kuruluşunuz için Denetim olaylarını ve akışlarını izleme özelliğini açın.
• Microsoft Entra Koşullu Erişim İlkesi (CAP) doğrulamasını etkinleştirin.

Kullanıcı ilkeleri

• Dış konuk erişimi (Yalnızca kuruluş Microsoft Entra Kimliği'ne bağlı olduğunda geçerlidir.): Etkinleştirildiğinde, kullanıcılar sayfasından Kiracı Microsoft Entra Kimliği'ne üye olmayan kullanıcıların e-posta hesaplarına davetler gönderilebilir. Daha fazla bilgi için bkz . Kuruluşunuza dış kullanıcılar ekleme.
• Ekip ve proje yöneticilerinin yeni kullanıcıları davet etmelerine izin ver: Yalnızca kuruluş Microsoft Entra Kimliği'ne bağlı olduğunda geçerlidir. Etkinleştirildiğinde, ekip ve proje yöneticileri Kullanıcılar sayfası aracılığıyla kullanıcı ekleyebilir. Daha fazla bilgi için bkz. Project ve Team Yönetici istrators'dan yeni kullanıcı davetlerini kısıtlama.
• Erişim isteme: Yalnızca kuruluş Microsoft Entra Id'ye bağlı olduğunda geçerlidir. Kullanıcılar etkinleştirildiğinde bir kaynağa erişim isteyebilir. bir istek, yöneticilere gerektiğinde gözden geçirme ve erişim isteyen bir e-posta bildirimiyle sonuçlanmıştır. Daha fazla bilgi için bkz . Kuruluşunuza dış kullanıcılar ekleme.
• GitHub kullanıcılarını davet etme: Yalnızca kuruluş Microsoft Entra Id'ye bağlı olmadığında geçerlidir. Yöneticiler etkinleştirildiğinde Kullanıcılar sayfasından GitHub kullanıcı hesaplarına göre kullanıcı ekleyebilir. Daha fazla bilgi için bkz . GitHub kullanıcılarını kimlik doğrulama ve davet etme hakkında SSS.

Proje Kapsamlı Kullanıcılar grubu

Varsayılan olarak, bir kuruluşa eklenen kullanıcılar tüm kuruluş ve proje bilgilerini ve ayarlarını görüntüleyebilir. Bu, kuruluş Ayarlar aracılığıyla erişilen kullanıcı listesini, proje listesini, faturalama ayrıntılarını, kullanım verilerini ve daha fazlasını görüntülemeyi içerir.

Önemli

• Bu bölümde açıklanan sınırlı görünürlük özellikleri yalnızca web portalı üzerinden yapılan etkileşimler için geçerlidir. REST API'leri veya azure devops CLI komutlarıyla, proje üyeleri kısıtlanmış verilere erişebilir.
• Microsoft Entra Id'de varsayılan erişimi olan sınırlı gruba üye olan konuk kullanıcılar, kişi seçicisi olan kullanıcıları arayamazsınız. Kuruluş için önizleme özelliği kapalı olduğunda veya konuk kullanıcılar sınırlı grubun üyesi olmadığında, konuk kullanıcılar beklendiği gibi tüm Microsoft Entra kullanıcılarını arayabilir.

Paydaşlar, Microsoft Entra konuk kullanıcıları veya belirli bir güvenlik grubunun üyeleri gibi belirli kullanıcıları kısıtlamak için, Kuruluş için belirli proje önizlemesi ile kullanıcı görünürlüğünü ve işbirliğini sınırla özelliğini etkinleştirebilirsiniz. Bu etkinleştirildikten sonra, Project Kapsamlı Kullanıcılar grubuna eklenen tüm kullanıcılar veya gruplar aşağıdaki yollarla kısıtlanır:

• Yalnızca Kuruluş Ayarlar Genel Bakış ve Projeler sayfalarına erişebilir.
• Yalnızca açıkça eklendikleri projelere bağlanabilir ve bunları görüntüleyebilir (bkz . Projeye veya takıma kullanıcı ekleme.
• Yalnızca bağlı oldukları projeye açıkça eklenmiş kullanıcı ve grup kimliklerini seçebilir.

Daha fazla bilgi için bkz . Kuruluşunuzu yönetme, Projeler için kullanıcı görünürlüğünü sınırlama ve daha fazlası ve Önizleme özelliklerini yönetme.

Uyarı

Kuruluş için Kullanıcı görünürlüğünü ve işbirliğini belirli projelerle sınırla önizleme özelliği etkinleştirildiğinde, proje kapsamına sahip kullanıcılar açık bir kullanıcı daveti yerine Microsoft Entra grup üyeliği aracılığıyla kuruluşa eklenen kullanıcıları arayamaz. Bu beklenmeyen bir davranıştır ve üzerinde çalışılan bir çözümdür. Bu sorunu kendi kendine çözmek için Kuruluşun belirli projelerde görünürlüğünü ve işbirliğini sınırla önizleme özelliğini devre dışı bırakın.

Git deposu ve dal ilkeleri

• Depo ayarlarını ve ilkelerini yapılandırma
• Dal ilkelerini yapılandırma
• Dış hizmet için dal ilkesini yapılandırma
• Özel dal ilkeleri oluşturmak için Azure İşlevleri kullanma

Azure Repos ve Azure Pipelines güvenliği

Depolar, derleme ve yayın işlem hatları benzersiz güvenlik zorlukları oluşturduğundan, bu makalede ele alınan özelliklerin ötesindeki diğer özellikler kullanılır. Daha fazla bilgi için aşağıdaki makalelere bakın.

• Azure Pipelines'ın güvenliğini sağlama
• YAML işlem hatlarınızın güvenliğini sağlamayı planlama
• Depo koruması
• İşlem hattı kaynakları
• İşlem hattınızdaki projeleri güvenli bir şekilde yapılandırmak için Öneriler
• Şablonlar aracılığıyla güvenlik
• İşlem hattınızda değişkenleri ve parametreleri güvenli bir şekilde kullanma
• Azure Pipelines'da paylaşılan altyapının güvenliğini sağlamak için Öneriler
• Diğer güvenlik konuları

Sonraki adımlar

İzinler ve gruplar başvurusu

İlgili makaleler

• Varsayılan izinler ve erişim atamaları
• Microsoft Entra ID'yi kullanarak kullanıcı ekleme veya silme
• Şirket içi dağıtımlarda kullanılacak grupları ayarlama
• Güvenli Yuva Katmanı (SSL) ile HTTPS ayarlama
• Varsayılan izinler ve erişim atamaları