DevOpsツールに必要な権限
サードパーティツールが DevOps チェンジベロシティ に接続するために必要な権限。
Azure DevOps 権限
重要:
Azure DevOps の次の表で指定されたアクセスレベルの権限と ServiceNow DevOps 拡張機能を使用すると、ServiceNow から Azure DevOps に接続できます。Azure DevOps アドミンは、Azure DevOps で Webhook とサービス接続を手動で構成する必要はありません。
重要:
- プロジェクトをオンボードする場合、 プロジェクト管理者 特権では、PAT の所有者がプロジェクトの プロジェクト管理者 グループのメンバーである必要があります。
- 組織をオンボードする場合、 プロジェクト管理者 特権では、PAT の所有者が組織の プロジェクト コレクション管理者 グループのメンバーである必要があります。
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| 作業アイテム | 読み取り | インポート、ポーリング、または構成された Webhook を使用してリアルタイムでボードを検出し、作業アイテムを受信するために必要です。 |
| コード | 読み取り | インポート、ポーリング、または構成された Webhook を使用してリアルタイムで、リポジトリを検出し、分岐、コミット、およびタグを受信するために必要です。 |
| 構築 | 読み取りと実行 |
読み取り:インポート、ポーリング、または構成された Webhook を使用してリアルタイムで、ビルドパイプラインを検出し、パイプライン実行の詳細 (ステージ、アーティファクト、テスト結果、コードセキュリティ結果など) を受信するために必要です。 実行:変更管理ステップに基づいてパイプラインを一時停止または再開するために必要です。 |
| リリース | 読み取り、書き込み、実行 |
読み取り:インポート、ポーリング、または構成された Webhook を使用したリアルタイムの方法で、リリースパイプラインを検出し、パイプライン実行の詳細 (ステージ、アーティファクト、テスト結果、コードセキュリティ結果など) を受信するために必要です。 書き込みと実行:変更コントロールステップに基づいてパイプラインを一時停止または再開するために必要です。 |
| テスト管理 | 読み取り | パイプライン実行のテスト結果を受信するために必要です。 |
| サービス接続 | 読み取り、クエリ、および管理 | 変更の促進、アーティファクト、パッケージ登録などの ServiceNow タスクを構成するために使用されるサービス接続を自動的に作成するために必要です。 |
| 包装 | 読み取り | インポート、ポーリング、または構成された Webhook を使用してリアルタイムで、アーティファクトリポジトリを検出し、フィードとパッケージを受信するために必要です。 |
| 権限 | プロジェクトアドミニストレーター | Webhook を自動的に作成して、リアルタイムでデータを受信し、変更の促進、アーティファクトとパッケージの登録などの ServiceNow タスクを構成するために使用されるサービス接続を自動的に作成するために必要です。 |
- Azure DevOps の制限
- カスタム定義のアクセスレベルで Azure ツールを作成し、統合ユーザー認証情報が変更されたためにそのようなツールを再構成した場合、作成されたリリースとリリース展開の既存のサービスフックは更新されません。代わりに、新しい構成の詳細を含む 2 つの新しいサービスフックが作成されます。これらのサービスフックの重複を回避するには、フルアクセスレベルでツールを作成する必要があります。
Bitbucket
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| 権限 | アドミン | インポート、ポーリング、または構成された Webhook を使用して、リポジトリを検出し、分岐、コミット、およびタグをフェッチするために必要です。 |
GitHub 権限
次の表に、ベーシック認証の GitHub 権限を示します。
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| repo | repo | インポート、ポーリング、または構成された Webhook を使用してリアルタイムで、リポジトリとその各ワークフローを検出し、分岐、コミット、プル要求、およびタグを受信するために必要です。 |
| admin:repo_hook | write:repo_hook | Webhook を自動的に作成して、リポジトリデータをリアルタイムで受信するために必要です。 |
| admin:repo_hook | read:repo_hook | リポジトリデータをリアルタイムで受信する新しい Webhook が自動的に作成される前に、既存の Webhook を検索するために必要です。 |
| user | user:email | インポート、ポーリング、または構成された Webhook を使用したリアルタイムの方法で、プル要求アクター (承認者、作成者、結合担当者、レビュー担当者、アサイニーなど) を検出するために必要です。 |
次の表に、OAuth 2.0 認証に必要な GitHub 権限を示します。
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| Actions (アクション) | 読み取り専用 | 構成された Webhook を使用して、各リポジトリに関連付けられたワークフローをリアルタイムで受信するために必要です。 |
| コンテンツ | 読み取り専用 | インポート/ポーリングを使用するか、構成された Webhook を使用してリアルタイムで、リポジトリとその各ワークフローを検出し、分岐、コミット、およびタグを受信するために必要です。 |
| 展開 | 読み取りと書き込み | ServiceNow の変更を環境シークレットとして持つ環境があるワークフローを再開するために必要です。 |
| 環境 | 読み取り専用 | 変更を作成するために既存の環境シークレットを検索するために必要です。 |
| メタデータ | 読み取り専用 | リポジトリとその各ワークフローを検出するために必要です。 |
| シークレット | 読み取り専用 | 環境シークレットにアクセスするために必要です (変更を作成するため)。 |
| Webhook | 読み取りと書き込み 注: ServiceNowから Webhook を構成するには、読み取り権限と書き込み権限が必要です。 |
Webhook を自動的に作成して、リポジトリデータをリアルタイムで受信するために必要です。 |
| プル要求 | 読み取り専用 | インポート/ポーリングを使用するか、構成された Webhook を使用してリアルタイムで、プル要求を検出し、関連詳細 (プル要求 ID、コミット、作成者、承認者、コメント、レビュー担当者など) を受信するために必要です。 |
| チェック | 読み取り専用 | プライベートリポジトリに関連付けられたワークフローイベントを処理するために必要です。 |
注:
GitHub アプリを使用して接続していて、権限チェックで問題が発生した場合は、GitHub アプリのクライアント ID プレフィックスが DevOps プロパティ ( GitHub アプリのクライアント ID 指定子) で使用できることを確認してください。詳細については、「クライアント ID を DevOps プロパティに追加」を参照してください。
GitLab 権限
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| api | 読み取りと書き込み | インポート、ポーリング、または構成された Webhook を使用したリアルタイムの方法で、計画、リポジトリ、パイプラインを検出し、分岐、コミット、タグ、パイプライン実行の詳細 (ステージ、アーティファクト、テスト結果、コードセキュリティ結果など)、作業アイテム、タグ、分岐、コミットを受信するために必要です。また、変更コントロールステップに基づいてパイプラインを一時停止または再開します。 |
Jenkins 権限
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| 全体 | 読み取り | インポート、ポーリング、または ServiceNow DevOps Jenkins プラグインを使用したリアルタイムの方法で、パイプラインを検出し、パイプライン実行の詳細 (ジョブやステージ、アーティファクト、テスト結果、コードセキュリティ結果など) を受信するために必要です。 |
| ジョブ | 読み取り | インポート、ポーリング、または ServiceNow DevOps Jenkins プラグインを使用したリアルタイムの方法で、パイプラインを検出し、パイプライン実行の詳細 (ジョブやステージ、アーティファクト、テスト結果、コードセキュリティ結果など) を受信するために必要です。 |
JFrog 権限
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| ロール | プラットフォームを管理 | アーティファクト名、アーティファクトリポジトリ、アーティファクトバージョンなどのアーティファクトの詳細にアクセスするために必要です。 |
Jira 権限
| オブジェクト | 必要な権限 | 影響 |
|---|---|---|
| グループ | jira-software-users | インポート、ポーリング、または構成された Webhook を使用して、計画を検出し、機能やストーリーなどをフェッチするために必要です。 |
| 権限 | Jira アドミニストレーター | 機能とストーリーをリアルタイムでフェッチするための Webhook を自動的に作成するために必要です。 |