我正在尝试了解 Azure DevOps 服务的安全设计。
我们有一个条件访问策略,仅当客户端满足以下条件时才允许连接到 Azure DevOps:
现在,通过浏览器访问时效果非常好,但是还有其他方法可以访问,例如Azure 存储库。
git clone https://<token_goes_here>@dev.azure.com/<my_organisation>/<my_project>/_git/<my_repo>
我知道我们可以:
我们的目标是让我们的用户只能在可信、安全(硬盘加密)的系统上工作,以防止数据泄露到不受信任的系统。
你们是如何做到这一点的(没有书面政策)?
对于 Microsoft Entra ID 支持的组织,DevOps 可以执行在 Microsoft Entra ID 上配置的条件访问策略 (CAP) 验证。
但是,DevOps 仅在用户使用其 AAD 凭据登录服务时强制执行条件访问策略。使用个人访问令牌 (PAT)、备用身份验证、OAuth 和 SSH 密钥访问 DevOps 可以规避条件访问策略。请查看这里的类似门票供您参考。
对于 Gitkraken,它使用针对
用户配置文件的
Oauth App
进行身份验证。它适用于用户拥有的all
devops 组织。使用来自一个 DevOps 组织的 OAuth 令牌限制第三方访问不会阻止连接。与 VsCode 连接类似。
希望有帮助!