保护 Azure DevOps
问题描述 投票:0回答:1
我正在尝试了解 Azure DevOps 服务的安全设计。
我们有一个条件访问策略,仅当客户端满足以下条件时才允许连接到 Azure DevOps:
- 在装有 Windows 操作系统的系统上
- 该系统与我们的 Entra ID 混合连接
- 通过MFA认证
现在,通过浏览器访问时效果非常好,但是还有其他方法可以访问,例如Azure 存储库。
- 当登录到满足上述要求的系统时,我可以创建个人访问令牌。然后我可以在 git 命令行中使用这个令牌:
git clone https://<token_goes_here>@dev.azure.com/<my_organisation>/<my_project>/_git/<my_repo> - 使用例如Gitkraken 并在满足上述要求的系统上获取授权码。然后我可以使用此代码在不受信任的系统上使用 OAuth 令牌进行身份验证。
- 使用 VS code 并在登录 Azure 时捕获登录 URL,将其粘贴到受信任的系统上,捕获回调 URL 并将其(在 URL 中包含访问代码)粘贴到不受信任的系统上
我知道我们可以:
- 限制PAT的创建,但我们不能完全禁止这一点
- 设置IP限制
- 使用 OAuth 令牌限制第三方访问(这在使用 Birdeatsbug 进行测试时可以正常工作,但使用 GitKraken(如上所述)则没有任何效果)
我们的目标是让我们的用户只能在可信、安全(硬盘加密)的系统上工作,以防止数据泄露到不受信任的系统。
你们是如何做到这一点的(没有书面政策)?
1个回答
0
投票
投票
对于 Microsoft Entra ID 支持的组织,DevOps 可以执行在 Microsoft Entra ID 上配置的条件访问策略 (CAP) 验证。
但是,DevOps 仅在用户使用其 AAD 凭据登录服务时强制执行条件访问策略。使用个人访问令牌 (PAT)、备用身份验证、OAuth 和 SSH 密钥访问 DevOps 可以规避条件访问策略。请查看这里的类似门票供您参考。
对于 Gitkraken,它使用针对
用户配置文件的
Oauth App 进行身份验证。它适用于用户拥有的all
希望有帮助!
最新问题
- 折叠导航栏时出现不需要的快速动画
- 如何在Spark中并行化map函数?
- 如何更改 Windows 中的默认计划任务进程优先级
- React Native TextInput 在 setState 上闪烁
- 如何使用 Google Youtube API 设置 Youtube 视频语言?
- 如何更改Prometheus监控的cadvisor和node-exporter中的端口号
- 如何在 XSLT 3.0 中运行 XQuery?
- nuxt3 部署错误 500,即使是在干净的新安装项目上
- 使用 ScrollView 和 LazyHStack 实现可变高度内容的 SwiftUI 轮播
- 网络摄像头问题 - 背景模糊(MacOS)
- 在 M1 mac 上安装 R 包“nloptr”时出现问题
- ace 编辑器 javascript-worker 强制“使用严格”
- 在 React 测试库和 Vitest 中使用 requestAnimationFrame 的代码中,userEvent 不会触发单击
- 如何检测浏览器是否会使用 JavaScript 显示或下载 PDF?
- 事件和状态之间有明显的区别吗
- 在 fastapi 中与 mongodb(聊天应用程序)一起使用 scoket.io 时,聊天不会保存
- 如何读取从iOS文件应用程序共享的文件
- Javascript:循环遍历变化数组中的元素
- 如何避免 files.exclude、files.watcherExclude 和 search.exclude 设置之间的重复?
- 如何将一些已知对象添加到 ace editors 语法检查器中?
© www.soinside.com 2019 - 2024. All rights reserved.