Criando para o Azure DevOps com os aplicativos OAuth do Microsoft Entra
Importante
Ao criar um novo aplicativo OAuth 2.0, comece aqui com os aplicativos OAuth do Microsoft Entra, pois os aplicativos OAuth do Azure DevOps estão planejados para substituição em 2026. Saiba mais em nossa postagem no blog.
Microsoft Entra ID OAuth
O Microsoft Entra ID é um produto separado da Microsoft com sua própria plataforma. No Microsoft Entra, você pode registrar um aplicativo para acessar locatários do Azure e definir as permissões necessárias dos recursos do Azure, dos quais o Azure DevOps é considerado um.
Os aplicativos Microsoft Entra e os aplicativos Azure DevOps são entidades separadas sem conhecimento um do outro. Os meios para autenticar seu aplicativo diferem do Microsoft Entra OAuth para o Azure DevOps OAuth. Por um lado, os aplicativos OAuth do Microsoft Entra ID recebem tokens do Microsoft Entra, não tokens de acesso do Azure DevOps. Esses tokens têm uma duração padrão de uma hora antes da expiração.
Recomendamos a leitura completa da documentação do Microsoft Entra para entender a nova funcionalidade disponível por meio do Microsoft Entra e as diferentes expectativas de você durante a instalação.
Por que escolher o Microsoft Entra?
Como um provedor líder de gerenciamento de identidade e acesso (IAM), o Microsoft Entra ID está focado nas necessidades das empresas que precisam gerenciar os membros da equipe e proteger os recursos da empresa. O Microsoft Entra ID oferece muitos recursos - o desenvolvimento e o gerenciamento de aplicativos é um deles. O modelo de aplicativo Microsoft Entra oferece algumas vantagens sobre o modelo de aplicativo OAuth do Azure DevOps que os tornam mais atraentes para os desenvolvedores de aplicativos.
1. Alcance mais amplo dentro e fora da Microsoft
Ao criar um aplicativo no Microsoft Entra, você tem um alcance mais amplo no restante do ecossistema da Microsoft. Um aplicativo Microsoft Entra pode ser usado para acessar vários produtos da Microsoft, tornando o gerenciamento de credenciais de aplicativos muito mais simples. As equipes que oferecem produtos SaaS podem considerar a criação de um aplicativo pré-integrado que aparece ao lado de outros aplicativos populares na galeria de aplicativos do Microsoft Entra.
2. Maior visibilidade, consentimento e gerenciamento do administrador
Os administradores de locatários confiáveis podem gerenciar quais aplicativos acessam os recursos da empresa, quem na organização pode usar o aplicativo e como o consentimento pode ser obtido. O OAuth do Azure DevOps não conhece o conhecimento de locatários ou seus administradores, dependendo exclusivamente dos usuários para autorizar o acesso a dados potencialmente confidenciais. Os usuários que anteriormente autorizavam o acesso a um aplicativo há muito esquecido estão deixando a porta aberta para possíveis infiltrações posteriores. A supervisão do administrador fornece um par extra de olhos com processos de revisão apropriados e limpeza útil de aplicativos não utilizados ou não autorizados.
3. Controles de acesso condicional mais rígidos
As políticas de acesso condicional facilitam a configuração dos controles de acesso apropriados nos quais os usuários podem e não podem acessar sua organização por meio de um aplicativo Microsoft Entra. O aplicativo OAuth do Azure DevOps fica fora do ecossistema do Microsoft Entra e não adere a todas as políticas de acesso condicional.
4. Configuração do aplicativo de autoatendimento
Alterar os escopos e a propriedade do aplicativo em um aplicativo Microsoft Entra é relativamente fácil em comparação com os aplicativos OAuth do Azure DevOps. Os desenvolvedores de aplicativos entram em contato com nossa equipe de suporte ao cliente para fazer alterações nos aplicativos OAuth do Azure DevOps, mas no Microsoft Entra o poder de alterar escopos é retornado ao desenvolvedor. A propriedade do aplicativo pode até ser compartilhada entre vários usuários e não restrita a um único usuário, o que pode representar um problema se esse usuário deixar a empresa no futuro.
5. Logs de login disponíveis
O Microsoft Entra registra todas as "entradas" em um locatário do Azure, que inclui seus aplicativos e recursos internos. Essas informações adicionais podem oferecer mais informações sobre quem está usando seus aplicativos que não estão disponíveis por meio de nossa auditoria.
Recursos úteis
Construir em uma nova plataforma pode ser esmagador. Fornecemos alguns links úteis que achamos que podem ser úteis para o processo de desenvolvimento de aplicativos OAuth no Microsoft Entra. Para desenvolvedores que estão migrando do OAuth do Azure DevOps para o OAuth do Microsoft Entra, fornecemos dicas úteis a serem consideradas durante o esforço de migração.
Bons recursos para desenvolvedores
- Plataforma de identidade da Microsoft e o fluxo On-Behalf-Of de OAuth 2.0
- Noções básicas sobre acesso delegado
- Início rápido: registrar um aplicativo na plataforma de identidade da Microsoft
- Adicionar permissões para acessar o Microsoft Graph: útil para saber como adicionar permissões delegadas de um recurso do Azure. Em vez do Microsoft Graph, selecione
Azure DevOpsna lista de recursos. - Escopos e permissões na plataforma de identidade da Microsoft: leia sobre o
.defaultescopo. Confira os escopos disponíveis para o Azure DevOps em nossa lista de escopos. - Solicitando permissões por meio de consentimento
- Bibliotecas de autenticação e exemplos de código
- Gerenciar tokens de acesso pessoal por meio da API: o uso das APIs de gerenciamento do ciclo de vida do PAT requer tokens do Microsoft Entra e nossos documentos e o aplicativo de exemplo associado podem ser um exemplo útil para configurar um aplicativo do Microsoft Entra para usar APIs REST do Azure DevOps.
- Opções de suporte e ajuda para desenvolvedores
Bons recursos para administradores
- O que é o gerenciamento de aplicativos no Microsoft Entra ID?
- Início Rápido: Adicionar um aplicativo empresarial
- Experiência de consentimento para aplicativos no Microsoft Entra ID
Dicas de construção e migração
Observação
Os aplicativos OAuth do Microsoft Entra não dão suporte nativo a usuários MSA para APIs REST do Azure DevOps. Se você estiver criando um aplicativo que deve atender aos usuários do MSA ou dar suporte aos usuários do Microsoft Entra e do MSA, os aplicativos OAuth do Azure DevOps continuam sendo sua melhor opção. No momento, estamos trabalhando no suporte nativo para usuários do MSA por meio do Microsoft Entra OAuth.
- IDs do Azure DevOps úteis:
- Identificador de recurso do Microsoft Entra:
499b84ac-1321-427f-aa17-267ca6975798 - Uri do recurso:
https://app.vssps.visualstudio.com - Use o
.defaultescopo ao solicitar um token com todos os escopos para os quais o aplicativo tem permissão.
- Identificador de recurso do Microsoft Entra:
- Ao migrar um aplicativo existente, você pode estar usando identificadores de usuário do Azure DevOps que não existem no Microsoft Entra. Use a API ReadIdentities para resolver e corresponder as diferentes identidades em uso por cada provedor de identidade.
Fluxos somente de aplicativo no Microsoft Entra
O Microsoft Entra OAuth é a solução recomendada para criar aplicativos para acessar os serviços do Azure DevOps em nome de um usuário que consentiu.
Se você deseja criar um aplicativo para agir em nome de si mesmo, consulte nossa documentação sobre o suporte à entidade de serviço. Nesses documentos, elaboramos mais sobre como configurar uma entidade de serviço ou identidade gerenciada que não dependa de permissões de usuário para agir nos recursos da organização, em vez disso, dependa apenas de suas próprias permissões. Esse mecanismo de autenticação é a autenticação recomendada para criar ferramentas automatizadas para equipes.