Доступ к Azure DevOps и управление лицензиями через RBAC
У меня есть несколько вопросов об управлении пользователями в Azure DevOps.
В моей организации более 500+ пользователей. Раньше большинство пользователей добавлялись в Azure DevOps вручную, и управлять ими было неудобно. У меня есть задача использовать для этого RBAC. В интернете подходящего решения не нашел. Хенсе решил разместить здесь.
Entra ID и Azure DevOps связаны.
Я создал 3 группы в Entra ID для назначения лицензий и 1 группу для управления владельцами лицензий Visual Studio.
#G-StakeholderLincese
#G-BasicLincese
#G-Basic&TestPlansLincese
#G-VSLicenseHolders
Мой вопрос: как я могу предоставить пользователям каждый уровень доступа?
Я могу найти группу через «поисковые группы».
Правильно ли, если я добавлю группу, как показано ниже?
Другой вопрос,
Когда я создал и добавил группу AD в проект, имя моего проекта не отображается в разделе «Имя пользователя, область действия или идентификатор приложения» и отображается как «TEAM FOUNDATION». Есть ли способ изменить это имя на имя моего проекта или это имя сборки? Пожалуйста, посмотрите изображение
Очень ценю любые рекомендации. Большое спасибо.
Ответы 1
Мой вопрос: как я могу предоставить пользователям каждый уровень доступа?
Вы поступаете правильно.
Когда вы добавляете новое групповое правило, вы можете назначить access level всей группе AAD.
project reader, project contributor — это project membership, который в зависимости от проекта вам нужно выбрать проект и установить членство в target project.
Следует отметить, что для Visual Studio Subscribers это работает по-другому. Подробности смотрите по ссылке ниже.
Обратите внимание: пользователи из группового правила не отображаются в списке «Все пользователи» до тех пор, пока они не попытаются войти в систему в первый раз.
Дополнительную информацию см. в документе Назначайте уровни доступа с помощью групповых правил.
Когда я создал и добавил группу AD в проект, имя моего проекта не отображается в разделе «Имя пользователя, область действия или идентификатор приложения» и отображается как «TEAM FOUNDATION». Есть ли способ изменить это имя на имя моего проекта или это имя сборки?
Это спроектированное поведение, и правильно невозможно изменить значение «Имя пользователя, область действия или идентификатор приложения» в качестве имени проекта или имени сборки. TEAM FOUNDATION предназначен для AAD group.
Спасибо @KalanaD. Владельцы лицензий VS по-прежнему могут использовать уровень доступа basic и project contributor, как вы это делали выше. Когда пользователь войдет в систему, в списке пользователей он будет отображаться как уровень доступа direct. DevOps автоматически сделает это за вас.
Большое спасибо за совет, Уэйд. Не могли бы вы подробнее объяснить, как я могу управлять владельцами лицензий VS в ADO? Спасибо.