#tfs #azure-devops
#tfs #azure-devops
Вопрос:
Я хотел бы перечислить членов группы безопасности домена в качестве параметров для поля рабочего элемента сервера Azure DevOps / TFS без предоставления доступа этим пользователям. Пример:
<FIELD name="Requestor" refname="MyNamespace.Requestor" type="String" reportable="dimension" syncnamechanges="true">
<ALLOWEDVALUES expanditems="true" filteritems="excludegroups">
<LISTITEM value="MyDomainSecurityGroup" />
</ALLOWEDVALUES>
<ALLOWEXISTINGVALUE />
<HELPTEXT>The person who requested the Project</HELPTEXT>
</FIELD>
Похоже, что, если группе не предоставлен доступ по членству в группе DevOps, при импорте рабочего элемента возникает следующая ошибка:
TF26171: Пользователь / группа ‘MyDomain SecurityGroup’ не найдена. TF26204: введенная вами учетная запись не распознана. Обратитесь к администратору сервера Azure DevOps, чтобы добавить свою учетную запись.
Это также справедливо для ограничения полей <VALIDUSER group="MyDomainSecurityGroup" /> вместо подхода LISTITEM.
Однако я не хочу предоставлять доступ к этой группе. Кроме того, запретить разрешения может быть проблематично из-за совпадения с действительными группами пользователей.
Есть ли какой-либо способ сделать эту группу доступной без предоставления доступа? Или другой подход к предоставлению списка участников группы AD?
Ответ №1:
Лучший подход, который я нашел для этого сценария, заключался в добавлении группы Azure DevOps «Запретить доступ» с соответствующей группой AD в качестве участника, а затем установить разрешения на запрет для группы DevOps. Затем группу DevOps можно добавить в другую группу или непосредственно в список. Проблема в том, что разрешения на запрет имеют приоритет, поэтому необходимо позаботиться о том, чтобы не включать пользователей DevOps в эту группу AD.
Этот обходной путь устраняет необходимость выбирать пользователей группы AD, но не предоставлять им доступ к приложению DevOps.
Ответ №2:
Есть ли какой-либо способ сделать эту группу доступной без предоставления доступа? Или другой подход к предоставлению списка участников группы AD?
Я боюсь, что нет такого способа сделать эту группу доступной без предоставления доступа.
Согласно документу Добавление правила к типу рабочего элемента, следующие правила определяют ограничения на указание или изменение значения поля:
Мы не смогли установить правило для предоставления доступа к этой группе.
Кроме того, точно так же, как вы тестируете, группе предоставляется доступ по членству в группе DevOps, но не может быть предоставлен доступ нашей пользовательской группой.
Комментарии:
1. Мне непонятно, как раздел документа, на который даны ссылки, приводит к данному выводу. Можете ли вы подробнее рассказать об этой связи? Раздел Укажите учетную запись или группу, отвечающую требованиям домена , в разделе Использовать токены для ссылок на группы, похоже, указывает, что это возможно, и не упоминает о необходимости быть связанным с группой Azure Devops.
2. @ChrisHill, я мог бы добавить ссылочные группы, но нет такого правила для предоставления доступа к этой группе. Мы могли установить только правила, перечисленные в приведенном выше ответе.