Блог

Существует документация для конвейеров Azure, в которой подробно описывается, какие проверки подлинности можно выполнить для доступа к репозиториям GitHub: приложение GitHub, OAuth и личный токен доступа. (https://docs.microsoft.com/en-us/azure/devops/pipelines/repos/github?view=azure-devopsamp;tabs=yaml#github-app-authentication)

В документации говорится, что аутентификация приложения GitHub является «рекомендуемой», но позже не выясняется, почему это так… Например, есть одна интересная вещь, которая работала с аутентификацией приложения GitHub: создание конвейера yaml, в котором вы определяете ресурс ACR контейнера с «последним» триггером. При правильном подключении службы ARM из yaml каким-то образом Azure DevOps создает веб-интерфейс для конкретного ACR, однако, если вы используете PAT, это не так.

Существует ли реальная наилучшая практика для данного типа аутентификации? Или вообще хороший аргумент, почему одно лучше другого?

Маркер личного доступа и маркер OAuth связывают конвейеры Azure с GitHub с вашей учетной записью пользователя. Ваш токен доступа будет использоваться для загрузки репо, и конвейер сможет получить доступ к токену для доступа к любому хранилищу, к которому имеет доступ ваш пользователь. Хотя это часто удобно, это проблема, поскольку вы можете быть не единственным человеком, использующим интеграцию, поэтому другие могут использовать ваши учетные данные, изменив конвейер.

У токенов, привязанных к пользователю, также есть проблема, связанная с тем, что владелец этой учетной записи пользователя может покинуть компанию, нарушив все конвейеры или, что еще хуже, потребовав небольшой перенастройки, чтобы убедиться, что пользователь потеряет весь доступ к репозиториям, к которым имеет доступ конвейер.

Приложение GitHub позволит вам точно настроить, к каким репозиториям должен быть разрешен доступ для конвейеров Azure. Он отделен от вашей учетной записи пользователя, и доступ может быть ограничен только теми репозиториями, которые вы хотите.