Controlar el acceso a las áreas funcionales
Se puede definir la configuración de seguridad inicial para las siguientes áreas funcionales de un proyecto de equipo: consultas, de equipo control de versiones de Team Foundation, Team Foundation Build y Visual Studio Lab Management. Las plantillas de proceso para Microsoft Solutions Framework (MSF) asignan varios permisos a grupos de seguridad predeterminados. Puede modificar dichas asignaciones si personaliza el archivo de complemento para el área funcional apropiada.
Para obtener información sobre cómo configurar los grupos de seguridad de Visual Studio Team Foundation Server, consulte Configurar grupos equipos, miembros y permisos iniciales.
Para obtener información sobre cómo administrar los usuarios y los grupos y cómo controlar el acceso a Visual Studio Application Lifecycle Management (ALM), consulte Administrar usuarios o grupos en TFS.
Asignar permisos a áreas funcionales
Use el elemento permission funcional para permitir o denegar permisos de áreas funcionales a un grupo de seguridad de Team Foundation Server, un grupo de Windows o una identidad de Windows. Este elemento se usa en los archivos de complementos para el seguimiento de elementos de trabajo, control de versiones de Team Foundation, Team Foundation Build y Lab Management. El elemento de permiso se debe encapsular dentro de su contenedor correspondiente: el elemento permissions. Use la siguiente estructura de sintaxis para el elemento permission funcional:
<permission allow="PermissionName" identity="GroupName"/>
<permission deny="PermissionName" identity="GroupName"/>
<permission allow="PermissionName" deny="PermissionName" identity="GroupName"/>
En la tabla siguiente se describen los atributos del elemento permission funcional:
Atributo |
Descripción |
|---|---|
allow |
Identifica los permisos que se conceden. Especifique los permisos como texto delimitado por comas. Para ver los nombres de los permisos que se han definido para cada área funcional, vaya a las siguientes secciones del presente tema:
|
deny |
Identifica los permisos que se revocan. Especifique los permisos como texto delimitado por comas. Nota Los permisos denegados tienen prioridad sobre los permisos concedidos. |
identity |
Especifica el grupo de seguridad en Team Foundation Server, el grupo de Windows o la identidad de Windows en los que se aplican los permisos. Para ver el formato que se debe usar al especificar grupos, consulte "Grupos predeterminados definidos en Team Foundation Server" en Configurar grupos equipos, miembros y permisos iniciales. |
En el ejemplo siguiente se muestra cómo conceder permisos para que el grupo Contributors vea las compilaciones y las definiciones de compilación, ponga compilaciones en cola y edite la calidad de compilación.
<taskXml>
<permission allow="Read, PendChange, Checkin, Label, Lock" identity="[$$PROJECTNAME$$]\Contributors"/>
</taskXml>
Nota
Si durante el tiempo de ejecución no se encuentra un permiso para una identidad, se busca ese permiso en el resto de grupos a los que pertenece la identidad.Si se logra encontrar el permiso, se deniega de forma predeterminada.
Asignar permisos para consultas de elementos de trabajo
En el archivo de complemento de elementos de trabajo, puede asignar permisos que controlan el acceso a las carpetas de consulta de equipo. Los permisos de carpeta de consulta son específicos de las consultas y de las carpetas de consultas. Puede conceder acceso a los usuarios y grupos de Windows o a los grupos predeterminados definidos para Team Foundation Server.
Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:
<Permission allow="Read, Contribute, Delete, ManagePermissions, FullControl" identity="="[$$PROJECTNAME$$]\$$PROJECTADMINGROUP$$" />
Nota
Para establecer los permisos una vez creado el proyecto de equipo, haga clic con el botón derecho en una consulta o carpeta de consulta en Team Explorer y, a continuación, haga clic en Seguridad.Para obtener más información, consulta Establecer permisos en consultas.
En la tabla siguiente se describen los permisos que controlan el acceso a las carpetas de consulta y a las consultas. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF. De forma predeterminada, los creadores o los propietarios de las consultas y las carpetas de consultas tienen el control total de la administración de las consultas que hayan creado o posean.
Permission |
Descripción |
Lectores, colaboradores, generadores |
Creadores propietarios, grupo de administradores de proyectos, administradores de la colección de proyectos |
|---|---|---|---|
Read |
Lectura. Puede ver y ejecutar una consulta o ver una carpeta de consultas y su contenido. |
.png "marca de verificación"){kind=icon} |
|
Contribute |
Colaborar. Puede ver y editar una consulta o una carpeta de consultas y su contenido. |
|
|
Delete |
Eliminar. Puede ver, editar y eliminar una consulta o una carpeta de consultas y su contenido. |
|
|
ManagePermissions |
Administrar permisos. Puede administrar los permisos de una consulta o carpeta de consultas y su contenido. |
|
|
FullControl |
Control total. Pueden ver, editar, eliminar y administrar los permisos de una consulta o de una carpeta de consultas y de su contenido. |
|
Asignar permisos de control de versiones
Para asignar los permisos que controlan el acceso a las carpetas y los archivos de código fuente, cambie el archivo de complemento de control de versiones. Los permisos de control de versiones son específicos de las carpetas y los archivos de código fuente. Puede conceder acceso a los usuarios y grupos de Windows o a los grupos predeterminados definidos para Team Foundation Server.
Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:
<permission allow="Read, PendChange, Checkin, Label, Lock, Merge" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Nota
Para establecer estos permisos una vez creado el proyecto de equipo, vaya al Explorador de control de código fuente, haga clic con el botón derecho en la carpeta o en el archivo , haga clic en Propiedades y haga clic en la pestaña Seguridad.En esta pestaña, haga clic en el usuario o grupo para el que desea cambiar los permisos y, a continuación, cambie los permisos enumerados en Permisos.Estos permisos también se pueden establecer mediante la herramienta de línea de comandos tf de control de versiones o la herramienta de línea de comandos TFSSecurity.Para obtener más información, consulta Referencia de permisos para Team Foundation Server.
En la tabla siguiente se describen los permisos que controlan el acceso a las carpetas y los archivos de código fuente. También se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Permission |
Descripción |
Lectores |
Contributors |
Generadores |
Grupo de administradores de proyecto |
|---|---|---|---|---|---|
Read |
Lectura. Pueden mostrar el contenido de un archivo o carpeta. Si un usuario tiene el permiso Lectura para una carpeta, pero no para los archivos que contiene, el usuario puede mostrar los nombres y las propiedades de esos archivos, pero no abrirlos. |
|
|
|
|
PendChange |
Desproteger. Puede desproteger y realizar un cambio pendiente en los elementos. Entre los ejemplos de cambios pendientes se incluyen agregar, editar, cambiar de nombre, eliminar, recuperar, bifurcar y combinar un archivo. |
|
|
|
|
Merge |
Combinar. Puede combinar los cambios en la ruta de acceso para la que tienen permisos. |
|
|
|
|
Checkin |
Proteger. Pueden proteger elementos y revisar los comentarios de los conjuntos de cambios confirmados. Los cambios pendientes se confirman cuando el usuario protege el elemento. |
|
|
|
|
Label |
Etiqueta. Pueden etiquetar elementos. |
|
|
|
|
Lock |
Bloquear. Puede bloquear un elemento para que otros usuarios no puedan actualizarlo. |
|
|
|
|
ReviseOther |
Revisar los cambios de otro usuario. Puede cambiar el contenido de los comentarios del conjunto de cambios y las notas de protección de otra persona. |
|
|||
UnlockOther |
Desbloquear los cambios de otro usuario. Puede quitar el bloqueo de otro usuario. |
|
|||
UndoOther |
Deshacer los cambios de otro usuario. Puede deshacer los cambios pendientes de otro usuario. |
|
|||
LabelOther |
Administrar etiquetas. Puede modificar la etiqueta de otro usuario. |
|
|||
AdminProjectRights |
Administrar permisos. Puede definir la configuración de seguridad del control de versiones. |
|
|||
CheckinOther |
Proteger los cambios de otro usuario. Puede realizar protección como otro usuario. Este permiso es necesario con utilidades de conversión. |
|
|||
ManageBranch |
Administrar bifurcación. Los usuarios que tienen este permiso para una ruta de acceso determinada pueden convertir cualquier carpeta bajo esa ruta de acceso en una bifurcación. Los usuarios que tienen este permiso para una bifurcación también pueden editar sus propiedades, cambiar su elemento primario y convertirla en una carpeta. Los usuarios que tienen este permiso solo pueden crear una bifurcación de esta bifurcación si también tienen el permiso Combinar para la ruta de acceso de destino. Los usuarios no pueden crear bifurcaciones a partir de una bifurcación para la que no tienen el permiso Administrar bifurcación. |
|
Asignar permisos de compilación
Para asignar permisos que controlan el acceso a las actividades de compilación, cambie el archivo de complemento de compilación. Puede conceder acceso a usuarios y grupos de Windows y grupos de Team Foundation Server. Para obtener información sobre el formato que se debe usar al especificar grupos, consulte "Grupos predeterminados definidos en Team Foundation Server" en Configurar grupos equipos, miembros y permisos iniciales.
Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:
<Permission allow="ViewBuildDefinition, QueueBuilds, ViewBuilds, EditBuildQuality" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Nota
Para establecer estos permisos una vez creado el proyecto de equipo, abra el proyecto en Team Explorer, haga clic con el botón derecho en Compilaciones y, a continuación, haga clic en Seguridad.Si desea aplicar permisos a una definición de compilación concreta, haga clic con el botón derecho en la definición de compilación y, a continuación, haga clic en Seguridad.Si desea aplicar permisos a una carpeta de compilación, haga clic en ella con el botón derecho y, a continuación, haga clic en Seguridad.Además, puede establecer estos permisos con la herramienta de línea de comandos TFSSecurity.Para obtener más información, consulta Referencia de permisos para Team Foundation Server.
En la tabla siguiente se describen los permisos que puede asignar y que controlan el acceso a las funciones de compilación de un proyecto de equipo. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Nota
El permiso Reemplazar validación de protección por compilación solo debe asignarse a las cuentas de servicio de los servicios de compilación y a los administradores de compilación responsables de la calidad del código.Para obtener más información, consulta Proteger los cambios pendientes controlados por una compilación de protección controlada.
Permission |
Descripción |
Lectores |
Contributors |
Administradores de compilación |
Project Administrators |
Project Collection Administrators |
|---|---|---|---|---|---|---|
ViewBuildDefinition |
Ver definición de compilación. Pueden ver las definiciones de compilación que se han creado para el proyecto de equipo. |
|
|
|
|
|
ViewBuilds |
Ver compilaciones. Pueden ver las compilaciones en cola y completadas de este proyecto de equipo. |
|
|
|
|
|
EditBuildQuality |
Editar calidad de compilación. Puede agregar información sobre la calidad de la compilación a través de la interfaz de Team Foundation Build. |
|
|
|
|
|
QueueBuilds |
Compilaciones en cola. Pueden agregar una compilación a la cola a través de la interfaz de Team Foundation Build o en un símbolo del sistema. |
|
|
|
|
|
DeleteBuildDefinition |
Eliminar definición de compilación. Puede eliminar definiciones de compilación. |
|
|
|
||
DeleteBuilds |
Eliminar compilaciones. Pueden eliminar una compilación completada. |
|
|
|
||
DestroyBuilds |
Destruir compilaciones. Pueden eliminar de forma permanente una compilación completada. |
|
|
|
||
EditBuildDefinition |
Editar definición de compilación. Puede crear y modificar definiciones de compilación. |
|
|
|
||
ManageBuildQualities |
Administrar calidades de compilación. Puede agregar o quitar calidades de compilación, como Listo para la implementación, Rechazado o Bajo investigación. Para obtener más información, consulta Agregar o quitar valores de calidad de la compilación. |
|
|
|
||
ManageBuildQueue |
Administrar cola de compilación. Pueden cancelar, volver a clasificar por orden de prioridad o posponer las compilaciones en cola. |
|
|
|
||
RetainIndefinitely |
Retener indefinidamente. Pueden marcar una compilación para que una directiva de retención aplicable no la elimine automáticamente. |
|
|
|
||
StopBuilds |
Detener compilaciones. Puede detener una compilación en curso. |
|
|
|
||
OverrideBuildCheckInValidation |
Reemplazar validación de protección por compilación. Pueden confirmar un conjunto de cambios que afecte a una definición de compilación controlada sin que el sistema aplace y compile antes los cambios. Para obtener más información, consulta Proteger los cambios pendientes controlados por una compilación de protección controlada. |
|
||||
UpdateBuildInformation |
Actualizar información de compilación. Puede agregar información sobre la calidad de una compilación. Este permiso se debería asignar solo a las cuentas de servicio. |
Asignar permisos para Lab Management
Cambie el archivo de complemento de Lab para controlar el acceso a las actividades de Lab Management. Los permisos de Lab Management son específicos de las máquinas virtuales, los entornos y otros recursos. Puede conceder acceso a usuarios y grupos de Windows y grupos de Team Foundation Server. Estos permisos se asignan mediante el elemento permission funcional, como se muestra en el ejemplo siguiente:
<permission allow="Read, Create, Write, Edit, Start, Stop, ManageSnapshots, Pause" identity="[$$PROJECTNAME$$]\@@Contributors@@" />
Nota
Puede establecer permisos de Lab Management mediante la herramienta de línea de comandos TFSLabConfig.Para mostrar la información de un recurso de laboratorio específico, debe disponer del permiso Lectura para ese recurso.Para eliminar una ubicación, debe tener el permiso DeleteLocation para esa ubicación. Para más información, vea TFSLabConfig - Permissions (Comando).
En la tabla siguiente se describen los permisos que se pueden asignar para controlar el acceso a Visual Studio Lab Management. En la tabla también se indican las asignaciones predeterminadas que se realizan en las plantillas de proceso de MSF.
Permission |
Descripción |
Lectores |
Contributors |
Grupo Cuentas de servicio de compilación de la colección de proyectos |
Grupo Administradores de proyectos de equipo |
Grupo Administradores de la colección de proyectos |
|---|---|---|---|---|---|---|
Read |
Ver recursos de laboratorio. Pueden ver información de los distintos recursos de Lab Management, que incluyen grupos host de colección, grupos de host de proyecto y entornos. |
|
|
|
|
|
Create |
Importar máquina virtual. Puede importar una máquina virtual desde un recurso compartido de biblioteca de Virtual Machine Manager (VMM). Este permiso se diferencia de Write en que los usuarios pueden crear un objeto de Lab Management, pero no escribir en el recurso compartido de biblioteca o en el grupo host de VMM. |
|
|
|
||
Write |
Escribir en entorno y máquinas virtuales. Puede crear entornos. Los usuarios que tienen este permiso para un recurso compartido de biblioteca de proyectos pueden almacenar entornos y máquinas virtuales. |
|
|
|
|
|
Edit |
Editar entorno y máquinas virtuales. Puede editar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se edita. |
|
|
|
|
|
Start |
Iniciar. Pueden iniciar un entorno. |
|
|
|
|
|
Stop |
Detener. Pueden detener un entorno. |
|
|
|
|
|
Pause |
Pausar. Pueden pausar un entorno. |
|
|
|
||
ManageSnapshots |
Administrar instantáneas. Pueden realizar todas las tareas de administración de instantáneas, lo que incluye tomar una instantánea, revertir a una instantánea, cambiar de nombre una instantánea, eliminar una instantánea y leer una instantánea. |
|
|
|
|
|
Delete |
Eliminar entornos y máquinas virtuales. Puede eliminar entornos y máquinas virtuales. El permiso se comprueba para el objeto que se elimina. |
|
|
|||
ManageLocation |
Administrar ubicaciones de laboratorio. Pueden editar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, proyectos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos. Este permiso para las ubicaciones de nivel de colección (grupos host de colección y recursos compartidos de biblioteca de colección) también permite crear ubicaciones de nivel de proyecto (grupos host de proyecto y recursos compartidos de biblioteca de proyectos). |
|
|
|||
DeleteLocation |
Administrar ubicaciones de laboratorio. Pueden eliminar las ubicaciones de los recursos de Lab Management, que incluyen grupos host de colección, recursos compartidos de biblioteca de colección, grupos host de proyecto y recursos compartidos de biblioteca de proyectos. |
|
|
|||
ManageChildPermissions |
Administrar permisos secundarios. Puede cambiar los permisos de todos los objetos secundarios de Lab Management. Por ejemplo, si un usuario tiene este permiso para un grupo host de proyectos de equipo, ese usuario puede cambiar los permisos de todos los entornos de ese grupo. |
|
|
|||
ManagePermissions |
Administrar permisos. Puede modificar los permisos para un objeto de Lab Management. Este permiso se comprueba el objeto cuyos permisos se modifican. |
|
||||
EnvironmentOps |
Operaciones de entorno. Pueden iniciar, detener, pausar y administrar instantáneas, además de realizar otras operaciones en un entorno. |