Автоматическое предоставление лицензий Azure DevOps на основе членства в группе Entra ID
В настоящее время я работаю с Microsoft Entra ID и Azure DevOps. В нашей организации я создал группу Entra ID, которая представляет определенную команду/отдел. Когда пользователи присоединяются к этой команде, они добавляются в группу. Моя цель — автоматически предоставить этим пользователям лицензии Azure DevOps на основе их членства в группах. В частности, когда пользователь добавляется в группу, он должен получить лицензию Azure DevOps (например, Stakeholder или Basic, в зависимости от группы). Кроме того, если пользователь покидает группу или организацию, его лицензия Azure DevOps должна быть отозвана.
В рамках своего исследования я просмотрел документацию как для Microsoft Entra ID, так и для Azure DevOps. Я ожидал найти простой метод настройки автоматического предоставления лицензий на основе членства в группах, аналогичный тому, как GitHub обрабатывает предоставление пользователей с помощью Entra (https://learn.microsoft.com/en-us/entra/identity/saas-apps /github-provisioning-tutorial). Однако в настоящее время мне не хватает ясности относительно шагов и лучших практик, необходимых для достижения этой интеграции.
Я также рассматриваю возможность создания внешней службы для управления операциями Azure DevOps. Однако я столкнулся с проблемой: я не смог найти простой способ настроить триггеры, когда в группе Entra ID происходят определенные операции (например, добавление или удаление пользователей).
Ответы 1
Вы можете установить групповые правила в организации Azure DevOps в соответствии со своими требованиями.
Перейдите в «Настройки организации» > «Microsoft Entra», убедитесь, что организация подключилась к клиенту Microsoft Entra, в котором находятся группы.
Перейдите в «Настройки организации» > «Пользователи» > вкладка «Правила группы», нажмите «Добавить правило группы».
Во всплывающем окне найдите и выберите нужную группу Microsoft Entra, установите уровень доступа группы и укажите проекты, к которым группа может получить доступ.
После установки группового правила пользователям в этой группе будут назначены лицензии.
Если вы добавите в группу нового пользователя, он обычно автоматически получит лицензии после первого успешного входа в организацию Azure DevOps. Если новые пользователи не синхронизируются с Azure DevOps, вы можете попробовать нажать «Пересмотреть правила» на вкладке «Правила группы».