为利益干系人提供编辑生成和发布管道的访问权限

Azure DevOps Services

若要为利益干系人提供创建、编辑和管理生成和管理生成和发布管道的权限,可以启用对利益干系人帐户级预览功能Pipelines的免费访问权限。 此功能实质上允许无限数量的免费用户管理和配置项目中的管道。

重要

2018 年 7 月 7 日之后创建的所有组织默认启用对利益干系人预览功能Pipelines的免费访问权限。 它仅适用于Azure DevOps Services。

如果没有启用此功能,利益干系人只能 查看和批准发布

为利益干系人启用对Pipelines的免费访问

若要启用对利益干系人功能Pipelines的免费访问,请参阅“管理”或“启用功能”。 只能在帐户级别启用它。

Preview feature, account level

启用该功能后,帐户中的所有利益干系人都可以完全访问Pipelines及其关联的功能。 这包括查看、创建和删除自动测试运行的功能。 有关关联功能和任务的完整列表,请参阅 生成和发布权限和角色

利益干系人仍受其安全组的权限集的约束。 例如,如果他们位于Project读取者安全组中,则他们具有对生成和发布的只读访问权限。 如果需要对利益干系人可以访问的功能进行更精细的控制,可以创建自定义安全组,并为某些用户组设置更精细的权限,如下一部分所述。

限制对 CI/CD 功能选择利益干系人的访问权限

启用对利益干系人预览功能Pipelines的免费访问权限后,可以通过设置权限来限制对选择功能或任务的访问权限。 一般步骤如下:

  1. 在Azure DevOps创建自定义项目级安全组。
  2. 将用户添加到此组
  3. 为要限制访问的 CI/CD 功能设置“ 拒绝 ”或 “未设置 ”权限。 可以设置这些 CI/CD 项目的权限:
    • 所有生成管道或选择生成管道
    • 所有发布管道或选择发布管道
    • 任务组
  4. 将安全组添加到这些项目的库安全角色:
    • 变量组
    • 保护文件
    • 部署组

创建自定义安全组

在项目级别或集合级别创建自定义安全组。 无论在哪个级别添加自定义安全组,创建自定义安全组的方法都是相同的。

提示

如果要在项目级别限制 CI/CD 任务,则只需创建项目级安全组。

若要创建项目级安全组,请打开 Web 门户并选择要在其中添加用户或组的项目。

注意

若要启用预览版中Project权限设置页面用户界面,请参阅“启用预览功能”。

  1. 选择Project设置,然后选择“权限”。

    Choose Project settings, and then Permissions

  2. 选择 “新建组 ”以打开用于添加组的对话框。

    Choose New group

  3. 输入组的名称、添加用户或组以及可选说明。 选择“创建”。

    Create group dialog

将成员添加到自定义安全组

  1. 若要将成员添加到组,请选择安全组,选择 “成员”,然后选择“ 添加”。

    Permissions, Group, Members tab, Choose Add

  2. 在文本框中键入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 指定在现有Azure Active Directory或现有Azure DevOps组中定义的单个电子邮件、 组。 系统会自动搜索匹配项。 选择满足你的要求的匹配项。

    Invite members dialog

  3. 选择“保存” 。

  4. 若要从组中删除用户帐户,请选中该帐户的复选框,然后选择 “删除”。

    Remove a member from group

    通过在出现的对话框中选择“删除”来确认删除。

设置生成管道的权限

打开所有或选择生成管道的安全对话框。

  1. 若要设置所有生成管道的权限,请选择“Pipelines> Builds”,选择文件夹图标,然后选择“所有生成管道”,选择“操作”图标,然后选择“安全性”。

    Open the Security dialog for all build pipelines, vertical nav

  2. 若要设置特定生成管道的权限,请打开 特定生成的操作图标,然后选择 “安全性”。

    Open the security dialog for a build pipeline

为自定义安全组添加和设置权限

  1. 输入要添加到“权限”对话框的组的名称。 例如,此处我们输入 “权限”对话框的“利益干系人访问 ”组。

    Enter custom security group name into the search box

    设置组所需的权限,然后关闭对话框。 将权限设置更改为 “拒绝” ,以便限制对这些权限的访问权限。

    没有“保存”按钮。

设置发布定义的权限

可以按照前面的两个过程提供的步骤来设置发布定义的权限。

打开“所有”或“选择发布管道的安全”对话框。

  1. 若要设置特定发布管道的权限,请打开 生成的操作图标菜单,然后选择 “安全性”。

  2. 在“权限”页上的搜索框中输入自定义安全组(如 利益干系人访问权限)。

    将权限设置更改为 “拒绝 ”,以限制对这些权限的访问权限。

    Choose Add link to add a group

    设置组所需的权限,然后关闭对话框。 将权限设置更改为 “拒绝 ”,以限制对这些权限的访问权限。

    没有“保存”按钮。

限制对库资源的访问

若要防止利益干系人编辑库资源,请将自定义安全组添加到库读取者角色。 若要了解如何操作,请参阅 管理变量组、安全文件和部署组的库角色

限制对任务组的访问

若要防止利益干系人编辑任务组,请将自定义安全组添加到任务组权限,并将所有权限设置为 “拒绝”。 若要了解如何操作,请参阅 管理变量组、安全文件和部署组的库角色