Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Servizi di Azure DevOps
Importante
È consigliabile usare l'autenticazione MICROSOFT Entra ID per le nuove applicazioni che si integrano con Azure DevOps Services. Offre funzionalità avanzate di sicurezza, integrazione delle identità aziendali e autenticazione moderna.
Questo articolo illustra i vantaggi dell'autenticazione di Microsoft Entra ID e illustra l'implementazione nelle applicazioni.
Informazioni generali
Microsoft Entra ID è la piattaforma di gestione delle identità e degli accessi basata sul cloud di Microsoft che consente alle organizzazioni di:
- Gestire le identità utente e controllare l'accesso alle risorse.
- Implementare criteri di sicurezza aziendali come l'autenticazione a più fattori e l'accesso condizionale Microsoft Entra.
- Eseguire l'integrazione con migliaia di applicazioni, tra cui Azure DevOps Services.
- Fornire l'accesso Single Sign-On tra i servizi Microsoft e non Microsoft.
Molti clienti aziendali di Azure DevOps connettono l'organizzazione di Azure DevOps all'ID Microsoft Entra per usare queste funzionalità e funzionalità di sicurezza avanzate.
Annotazioni
Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD). In alcuni prodotti e documentazione Microsoft potrebbero ancora essere visualizzati riferimenti.
Opzioni di autenticazione
Microsoft Identity Platform offre due modelli di autenticazione principali per l'accesso ad Azure DevOps.
Delega utente (OAuth)
Ideale per: applicazioni interattive che agiscono per gli utenti
- Gli utenti accedono con le credenziali di Microsoft Entra ID.
- Le applicazioni ricevono autorizzazioni delegate per fungere da utente connesso.
- Supporto per l'autenticazione a più fattori e i criteri di accesso condizionale di Microsoft Entra.
- Ideale per applicazioni Web, app desktop e strumenti per utenti.
Introduzione: Implementazione OAuth di Microsoft Entra ID
Identità dell'applicazione (entità servizio e identità gestite)
Ideale per: scenari di automazione e servizi in background
- Le applicazioni eseguono l'autenticazione usando la propria identità (non le credenziali utente).
- Adatto per pipeline di integrazione continua e recapito continuo (CI/CD), servizi in background e strumenti automatizzati.
- Maggiore sicurezza per la comunicazione da servizio a servizio.
- Supporto per entità servizio e identità gestite di Azure.
Introduzione: principali di servizio e identità gestite
Vantaggi dell'autenticazione di Microsoft Entra ID
L'autenticazione microsoft Entra ID offre vantaggi significativi rispetto ai metodi di autenticazione di Azure DevOps legacy.
Sicurezza avanzata
- I token di breve durata (scadenza di un'ora) riducono il rischio di credenziali compromesse.
- I criteri di accesso condizionale di Microsoft Entra proteggono dal furto di token e dall'accesso non autorizzato.
- L'autenticazione a più fattori supporta altri livelli di sicurezza.
- Advanced Threat Protection offre una valutazione dei rischi in tempo reale.
Integrazione aziendale
- Single Sign-On tra applicazioni Microsoft e non Microsoft
- Gestione centralizzata delle identità per utenti e applicazioni
- Applicazione dei criteri a livello di organizzazione
- Funzionalità di controllo e conformità per i requisiti di governance
Esperienza sviluppatore
- Librerie di autenticazione moderne (Microsoft Authentication Library) con aggiornamento automatico dei token
- Piattaforma di gestione delle identità coerente in tutti i servizi Microsoft
- Documentazione ed esempi avanzati per l'implementazione rapida
- Supporto e sviluppo attivi con aggiornamenti regolari delle funzionalità
Confronto con metodi legacy (obsoleti)
| Caratteristica / Funzionalità | Microsoft Entra ID | Token di accesso personali | Azure DevOps OAuth |
|---|---|---|---|
| Durata del token | Un'ora (autorefresh) | Fino a un anno | Configurabile |
| Autenticazione a più fattori | ✅ Supporto nativo | ❌ Non supportato | ❌ Non supportato |
| Accesso condizionale | ✅ Supporto completo | ❌ Non supportato | ❌ Non supportato |
| Criteri aziendali | ✅ Applicato | ⚠️ Limitato | ⚠️ Limitato |
| Registrazione di controllo | ✅ Completo | ⚠️ Basic | ⚠️ Basic |
| Investimenti futuri | ✅ Sviluppo attivo | ⚠️ Modalità manutenzione | ❌ Deprecato |
Importante
Compatibilità dei token: i token MICROSOFT Entra ID e i token Di Azure DevOps non sono intercambiabili. Le applicazioni di cui viene eseguita la migrazione da Azure DevOps OAuth a Microsoft Entra ID OAuth richiedono la riautorizzazione dell'utente.
Migrazione dall'autenticazione legacy
Le organizzazioni adottano sempre più criteri di sicurezza che limitano la creazione di token di accesso personale a causa dei rischi per la sicurezza. L'autenticazione microsoft Entra ID offre alternative sicure per scenari PAT comuni.
| Scenario PAT | Alternativa a Microsoft Entra |
|---|---|
| Eseguire l'autenticazione con Git Credential Manager (GCM) | Per impostazione predefinita, GCM esegue l'autenticazione con i Token di Accesso Personale (PAT). Impostare il tipo di credenziale predefinito su oauth. Altre informazioni sono disponibili nella pagina Git Credential Manager (GCM). |
| Eseguire l'autenticazione in una pipeline di compilazione o versione | Usare una connessione al servizio con Federazione dell'Identità del Carico di Lavoro. |
| Richieste ad hoc alle API REST di Azure DevOps | Eseguire un token One-Off di Microsoft Entra usando l'interfaccia della riga di comando di Azure. |
Suggerimento
Si dispone di uno scenario pat di Azure DevOps senza una chiara alternativa al token Entra di Microsoft? Condividere lo scenario nella community degli sviluppatori.