Microsoft vai aposentar o issuer do Azure DevOps nas service connections de workload identity federation
Aprofundamento CEVIU
Aprofundamento
Azure DevOps está encerrando o uso do issuer personalizado https://vstoken.dev.azure.com em conexões de autenticação sem segredos baseadas em workload identity federation. Esse issuer foi introduzido em 2024 como ponte para eliminar o uso de secrets em pipelines, mas agora cede espaço ao issuer padronizado do Microsoft Entra, que já domina mais da metade das novas conexões desde novembro de 2025. A mudança não afeta o funcionamento dos pipelines, as tarefas continuam iguais. O que muda é a origem do token OIDC: antes gerado pelo Azure DevOps, agora pelo Microsoft Entra, com credenciais federadas imutáveis e vinculadas diretamente à identidade do Azure.
A transição é gradual. Até julho de 2027, as conexões antigas ainda funcionam, mas recebem avisos visíveis na interface. A migração exige atualização manual ou por script, pois o novo issuer usa um subject diferente e requer permissão para alterar a credencial federada na entidade de identidade no Microsoft Entra. Organizações que dependem de apps multitenant ou nuvens governamentais não são afetadas, mas devem monitorar futuras atualizações da Microsoft para suporte contínuo.
Por que isso importa
Essa mudança reflete uma estratégia mais ampla da Microsoft de unificar a autenticação de trabalho em nuvem sob o Microsoft Entra, reduzindo complexidade e superfície de ataque. Ao eliminar issuers específicos de serviço, a empresa simplifica a gestão de identidades, melhora a auditoria e facilita a aplicação de políticas de segurança centralizadas. Para equipes de DevOps, isso significa menos variações na configuração de pipelines e maior previsibilidade ao integrar Azure Pipelines com recursos como Key Vault, Storage ou AKS. A migração antecipada evita riscos de interrupção inesperada e garante compatibilidade com futuras restrições de segurança.
Linha do tempo
Azure DevOps introduz suporte a workload identity federation com issuer próprio https://vstoken.dev.azure.com
Novas service connections passam a usar o issuer do Microsoft Entra por padrão
Issuer do Azure DevOps é descontinuado para novas conexões
Issuer do Azure DevOps é desativado completamente
Perguntas frequentes
Meus pipelines vão parar de funcionar em 1º de julho de 2026?
Não. A data de 1º de julho de 2026 é apenas o início da descontinuação, quando novas conexões passam a usar exclusivamente o issuer do Microsoft Entra. As conexões antigas continuam operando normalmente até 1º de julho de 2027. O aviso na interface serve como lembrete para planejar a migração, não como bloqueio imediato.
Preciso alterar meu código de pipeline para migrar?
Não. As tarefas YAML ou no designer de pipeline não precisam de modificação. A mudança ocorre na camada de autenticação, invisível para o pipeline. O que exige ação é atualizar a configuração da service connection no portal do Azure DevOps, trocando o issuer e recriando a credencial federada no Microsoft Entra com as novas informações.
Como sei se minha service connection ainda usa o issuer antigo?
No painel de service connections do Azure DevOps, as conexões que usam https://vstoken.dev.azure.com aparecem listadas no topo com uma bandeira de aviso. O issuer também está visível nas propriedades da conexão. Se o issuer for https://login.microsoftonline.com/, já está no padrão atual e não precisa de ação.
Posso automatizar a migração de várias service connections?
Sim. A Microsoft fornece scripts de exemplo para criar e atualizar credenciais federadas via Azure CLI ou PowerShell. Isso é essencial para equipes com centenas de pipelines. O subject do novo issuer é fixo e pode ser antecipado: é o nome da service connection no formato azdevops://organization/project/serviceconnectionname.
Fontes
- devblogs.microsoft.comfonte original
- Categoria
- CEVIU DevOps
- Publicado
- 24 de junho de 2026
- Editoria
- CEVIU DevOps