Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
In dit artikel worden verificatiemethoden beschreven voor Azure DevOps-integratie en kunt u de beste optie voor uw scenario kiezen. Moderne verificatiemethoden zoals Microsoft Entra ID bieden verbeterde beveiliging en de beste benadering voor nieuwe toepassingen.
Belangrijk
We raden Microsoft Entra ID-verificatie aan voor nieuwe toepassingen die zijn geïntegreerd met Azure DevOps Services. Gebruik persoonlijke toegangstokens spaarzaam en gebruik ze alleen als Microsoft Entra-id niet beschikbaar is.
OAuth 2.0- en Microsoft Entra ID-verificatie zijn alleen beschikbaar voor Azure DevOps Services, niet voor Azure DevOps Server.
Voor on-premises scenario's gebruikt u .NET-clientbibliotheken, Windows-verificatie of persoonlijke toegangstokens.
Verificatiemethoden per scenario
Kies de juiste verificatiemethode op basis van uw toepassingstype en vereisten.
| Toepassingstype | Beschrijving | Voorbeeld | Aanbevolen methode | Codevoorbeelden |
|---|---|---|---|---|
| Web-/desktop-apps | Interactieve toepassingen die gebruikmaken van huidige frameworks | React-app, .NET-bureaublad-app | Microsoft Entra OAuth met de Microsoft Authentication Library (MSAL) | Console-app voor beheerde client |
| Service-/achtergrond-apps | Toepassingen die worden uitgevoerd zonder gebruikersinteractie | Azure Functions, achtergrondservices | Service-principals en beheerde identiteiten | Serviceprincipals |
| Verouderde client-apps | Bestaande toepassingen met behulp van clientbibliotheken | Console-apps met Azure DevOps .NET-bibliotheken | .NET-clientbibliotheken met OAuth | Console-app voor clientbibliotheek |
| Headless/CLI-apps | Niet-inactieve opdrachtregelprogramma's | Scripts, automatiseringshulpprogramma's bouwen | Stroom voor het verlenen van apparaatautorisatie | Apparaatprofiel |
| Azure DevOps-extensies | Extensies die worden uitgevoerd in Azure DevOps | Aangepaste dashboardwidgets en werkitemformulieren | Azure DevOps-webextensie-SDK | Een dashboardwidget toevoegen |
| Azure DevOps Server-apps | On-premises Azure DevOps Server-integraties | Aangepaste serverextensies | .NET-clientbibliotheken of Windows-authenticatie | Console-app voor clientbibliotheek |
| Persoonlijke/ad-hocscripts | Snelle scripts voor persoonlijk gebruik | PowerShell-scripts, curl-opdrachten | Persoonlijke toegangstokens | Beginnen met de REST API's |
Suggesties om aan de slag te gaan
De volgende secties bevatten aanbevelingen voor het aan de slag gaan in verschillende scenario's.
Nieuwe toepassingen
- Bouw Azure DevOps-integraties met Microsoft Entra OAuth-apps voor de beste beveiliging en toekomstige compatibiliteit.
- Gebruik serviceprincipals of beheerde identiteiten voor service-naar-service-scenario's.
- Vermijd persoonlijke toegangstokens in productietoepassingen.
Bestaande toepassingen
- Plan de migratie van persoonlijke toegangstokens naar Microsoft Entra ID-verificatie.
- Bekijk de tijdlijn voor verificatiemigratie voor verbeteringen in Azure DevOps en verminder het gebruik van persoonlijke toegangstokens.
- Bekijk uw huidige verificatiebenadering op basis van aanbevolen beveiligingsprocedures.
Azure DevOps Server
- Gebruik indien mogelijk .NET-clientbibliotheken met Windows-verificatie.
- Gebruik persoonlijke toegangstokens voor Azure DevOps Server-scenario's wanneer ze acceptabel zijn.
- Plan de toekomstige migratie van Azure DevOps Services om te profiteren van moderne verificatie.
Antwoorden op veelgestelde vragen
De volgende secties bevatten antwoorden op veelgestelde vragen.
Moet ik OAuth- of persoonlijke toegangstokens van Microsoft Entra ID gebruiken?
Gebruik OAuth van Microsoft Entra ID in de volgende scenario's:
- Nieuwe toepassingen en integraties
- Productieworkloads waarvoor robuuste beveiliging is vereist
- Toepassingen die bedrijfsidentiteitsintegratie nodig hebben
- Langetermijnprojecten met nalevingsvereisten
Gebruik alleen persoonlijke toegangstokens in de volgende scenario's:
- Persoonlijke scripts en ad-hoctaken
- Verouderde toepassingen tijdens de migratieplanning
- Azure DevOps Server-scenario's waarbij moderne verificatie niet beschikbaar is
Moet ik service-principals of gebruikersdelegering gebruiken voor verificatie?
Gebruik service-principals of beheerde identiteiten in de volgende scenario's:
- Toepassingen bouwen die onafhankelijk werken (achtergrondservices, automatisering).
- Apps maken waarvoor geen gebruikersinteractie is vereist.
- Service-naar-service-communicatie implementeren.
- Bouw pijplijnen voor continue integratie en continue levering (CI/CD) of geautomatiseerde werkstromen.
Gebruik gebruikersdelegering (OAuth met gebruikerstoestemming) in de volgende scenario's:
- Toepassingen bouwen die fungeren voor menselijke gebruikers.
- Maak interactieve apps waar gebruikers zich aanmelden met hun eigen referenties.
- Implementeer functies waarvoor gebruikersspecifieke machtigingen zijn vereist.
- Bouw apps die de afzonderlijke toegangsrechten van gebruikers respecteren.
Hoe kan ik verifiëren met zowel Azure DevOps Services als Azure DevOps Server?
U kunt het beste afzonderlijke verificatiepaden maken:
- Azure DevOps Services: Microsoft Entra ID OAuth gebruiken.
- Azure DevOps Server: .NET-clientbibliotheken gebruiken met Windows-verificatie of persoonlijke toegangstokens.
Gebruik de requestContext methode om het servicetype te detecteren en de juiste verificatiemethode toe te passen.
Waarom heeft mijn serviceaccount geen toegang tot Azure DevOps-API's?
Hier volgen enkele veelvoorkomende problemen die van invloed kunnen zijn op toegang tot serviceaccounts:
- Serviceaccount niet 'gerealiseerd': gebruik de juiste aanmeldingsmethode. Service-accounts hebben interactieve aanmeldingsmachtigingen of de juiste registratie in Microsoft Entra ID nodig.
- Onvoldoende machtigingen: zorg ervoor dat het serviceaccount over de juiste Azure DevOps-machtigingen beschikt.
- Authenticatiemethode: Gebruik service-principals of beheerde identiteiten in plaats van te authenticeren als een serviceaccount.
Hoe migreer ik van persoonlijke toegangstokens naar moderne verificatie?
Volg deze stappen:
Identificeer het huidige gebruik van persoonlijke toegangstokens in uw toepassingen.
Kies een alternatieve verificatiemethode:
- Microsoft Entra ID OAuth voor door de gebruiker gedelegeerde scenario's
- Service-entiteiten voor service-naar-service-scenario's
Werk de verificatiecode bij met behulp van de Azure DevOps-migratieverificatievoorbeelden.
Test de wijzigingen grondig voordat u eventuele persoonlijke toegangstokenafhankelijkheden verwijdert.
Controleer en valideer de nieuwe verificatiemethode.
Implementatieprocedures
Nadat u de verificatiemethode voor uw scenario hebt gekozen, voltooit u de implementatie:
- Nieuwe toepassingen: Azure DevOps-integraties bouwen met Microsoft Entra OAuth-apps
- Servicetoepassingen: service-principals en beheerde identiteiten gebruiken in Azure DevOps
- Persoonlijke scripts: persoonlijke toegangstokens gebruiken