Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Serviços do Azure DevOps
Importante
Recomendamos que você use a autenticação da ID do Microsoft Entra para novos aplicativos que se integram ao Azure DevOps Services. Ele fornece segurança aprimorada, integração de identidade corporativa e recursos de autenticação modernos.
Este artigo explica os benefícios da autenticação da ID do Microsoft Entra e orienta você a implementá-la em seus aplicativos.
Visão geral
A ID do Microsoft Entra é a plataforma de gerenciamento de acesso e identidade baseada em nuvem da Microsoft que permite às organizações:
- Gerenciar identidades de usuário e controlar o acesso aos recursos.
- Implemente políticas de segurança corporativa, como autenticação multifator e Acesso Condicional do Microsoft Entra.
- Integre-se a milhares de aplicativos, incluindo o Azure DevOps Services.
- Forneça logon único em serviços da Microsoft e não da Microsoft.
Muitos clientes empresariais do Azure DevOps conectam sua organização do Azure DevOps à ID do Microsoft Entra para usar esses recursos e recursos de segurança aprimorados.
Observação
A ID do Microsoft Entra era anteriormente conhecida como Azure AD (Azure Active Directory). Você ainda pode ver referências em alguns produtos e documentação da Microsoft.
Opções de autenticação
A plataforma de Identidade da Microsoft fornece dois padrões de autenticação primários para acesso ao Azure DevOps.
Delegação do usuário (OAuth)
Melhor para: aplicativos interativos que atuam para usuários
- Os usuários entrarão com suas credenciais de ID do Microsoft Entra.
- Os aplicativos recebem permissões delegadas para atuar como o usuário conectado.
- Suporte para autenticação multifator e políticas de Acesso Condicional do Microsoft Entra.
- Ideal para aplicativos Web, aplicativos da área de trabalho e ferramentas voltadas para o usuário.
Introdução: Implementação do Microsoft Entra ID OAuth
Identidade do aplicativo (entidades de serviço e identidades gerenciadas)
Melhor para: serviços em segundo plano e cenários de automação
- Os aplicativos são autenticados usando sua própria identidade (não credenciais de usuário).
- Adequado para pipelines de CI/CD (integração contínua e entrega contínua), serviços em segundo plano e ferramentas automatizadas.
- Mais seguro para comunicação serviço a serviço.
- Suporte para entidades de serviço e identidades gerenciadas do Azure.
Introdução: Principais de serviço e identidades gerenciadas
Benefícios da autenticação da ID do Microsoft Entra
A autenticação da ID do Microsoft Entra fornece vantagens significativas em relação aos métodos de autenticação herdados do Azure DevOps.
Segurança aprimorada
- Tokens de curta duração (expiração de uma hora) reduzem o risco de credenciais comprometidas.
- As políticas de Acesso Condicional do Microsoft Entra protegem contra roubo de token e acesso não autorizado.
- A autenticação multifator dá suporte a outras camadas de segurança.
- A proteção avançada contra ameaças fornece avaliação de risco em tempo real.
Integração empresarial
- Logon único em aplicativos Microsoft e não Microsoft
- Gerenciamento de identidade centralizado para usuários e aplicativos
- Imposição de política no nível organizacional
- Recursos de auditoria e conformidade para requisitos de governança
Experiência do desenvolvedor
- Bibliotecas de autenticação modernas (Biblioteca de Autenticação da Microsoft) com atualização automática de token
- Plataforma de identidade consistente em todos os serviços da Microsoft
- Documentação avançada e exemplos para implementação rápida
- Suporte ativo e desenvolvimento com atualizações regulares de recursos
Comparação com métodos herdados
| Característica | Microsoft Entra ID | Tokens de acesso pessoal | Azure DevOps OAuth |
|---|---|---|---|
| Tempo de vida do token | Uma hora (autorefresh) | Até um ano | Configurável |
| Autenticação multifator | ✅ Suporte nativo | ❌ Sem suporte | ❌ Sem suporte |
| Acesso condicional | ✅ Suporte completo | ❌ Sem suporte | ❌ Sem suporte |
| Políticas empresariais | ✅ Imposição | ⚠️ Limitado | ⚠️ Limitado |
| Log de auditoria | ✅ Abrangente | ⚠️ Básico | ⚠️ Básico |
| Investimento futuro | ✅ Desenvolvimento ativo | ⚠️ Modo de manutenção | ❌ Deprecado |
Importante
Compatibilidade de token: tokens de ID do Microsoft Entra e tokens do Azure DevOps não são intercambiáveis. Os aplicativos que migram do OAuth do Azure DevOps para o Microsoft Entra ID OAuth exigem a reautorização do usuário.
Migração da autenticação herdada
As organizações adotam cada vez mais políticas de segurança que restringem a criação do PAT (token de acesso pessoal) devido a riscos de segurança. A autenticação da ID do Microsoft Entra fornece alternativas seguras para cenários comuns de PAT.
| Cenário de PAT | Alternativa do Microsoft Entra |
|---|---|
| Autenticar com o GCM (Git Credential Manager) | O GCM usa como padrão a autenticação com os PATs. Defina o tipo de credencial padrão como oauth. Saiba mais na página GCM (Git Credential Manager). |
| Autenticar em um pipeline de build ou de versão | Use uma conexão de serviço com a Federação de Carga de Trabalho. |
| Solicitações ad hoc para APIs REST do Azure DevOps | Emita um token do Microsoft Entra único usando a CLI do Azure. |
Dica
Você tem um cenário de PAT do Azure DevOps sem nenhuma alternativa clara de token do Microsoft Entra? Compartilhe seu cenário na Comunidade de Desenvolvedores.