Révoquer des jetons d’accès personnels pour les utilisateurs d’une organisation

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Si un jeton d’accès personnel (PAT) est compromis, il est essentiel d’agir rapidement. Les administrateurs peuvent révoquer le mot de passe d’un utilisateur pour protéger l’organisation. La désactivation du compte d’un utilisateur révoque également son PAT.

Pourquoi révoquer des PAT utilisateur ?

La révocation des PAT utilisateur est essentielle pour les raisons suivantes :

  • Jeton compromis : empêchez l’accès non autorisé si un jeton est compromis.
  • L’utilisateur quitte l’organisation : assurez-vous que les anciens employés n’ont plus accès.
  • Modifications d’autorisation : invalider les jetons reflétant les anciennes autorisations.
  • Violation de sécurité : atténuer l’accès non autorisé pendant une violation.
  • Pratiques de sécurité régulières : révoquez et rééditez régulièrement des jetons dans le cadre d’une stratégie de sécurité.

Prérequis

Autorisations : être membre du groupe Administrateurs de collection de projets. Les propriétaires d’organisation sont automatiquement membres de ce groupe.

Conseil

Pour créer ou révoquer vos propres PAT, consultez Créer ou révoquer des PAT.

Révoquer des PAT

  1. Pour révoquer des autorisations OAuth, y compris des PAT, pour les utilisateurs de votre organisation, consultez révocations de jetons - Révoquer des autorisations.
  2. Pour automatiser l’appel de l’API REST, utilisez ce script PowerShell, qui passe une liste de noms d’utilisateur principaux (UPN). Si vous ne connaissez pas l’UPN de l’utilisateur qui a créé le PAT, utilisez ce script avec une plage de dates spécifiée.

Remarque

Lorsque vous utilisez une plage de dates, tous les jetons web JSON (JWT) sont également révoqués. Les outils qui s’appuient sur ces jetons ne fonctionnent pas tant qu’ils ne sont pas actualisés avec de nouveaux jetons.

  1. Une fois que vous avez révoqué les PAT affectés, informez vos utilisateurs. Ils peuvent recréer leurs jetons si nécessaire.

Il peut y avoir un délai d’une heure maximum avant que le PAT ne devienne inactif, car cette période de latence persiste jusqu’à ce que l’opération de désactivation ou de suppression soit entièrement traitée dans l’ID Microsoft Entra.

Expiration du jeton FedAuth

Un jeton FedAuth est émis lorsque vous vous connectez. Il est valide pour une fenêtre glissante de sept jours. L’expiration s’étend automatiquement sept jours supplémentaires chaque fois que vous l’actualisez dans la fenêtre glissante. Si les utilisateurs accèdent régulièrement au service, seule une connexion initiale est nécessaire. Après une période d’inactivité prolongée de sept jours, le jeton devient non valide et l’utilisateur doit se reconnecter.

Expiration pat

Les utilisateurs peuvent choisir une date d’expiration pour leur PAT, et ne pas dépasser un an. Nous vous recommandons d’utiliser des périodes plus courtes et de générer de nouveaux PAT à l’expiration. Les utilisateurs reçoivent un e-mail de notification une semaine avant l’expiration du jeton. Les utilisateurs peuvent générer un nouveau jeton, étendre l’expiration du jeton existant ou modifier l’étendue du jeton existant si nécessaire.

Journaux d’activité d’audit

Si votre organisation est connectée à l’ID Microsoft Entra, vous avez accès aux journaux d’audit qui suivent différents événements, notamment les modifications d’autorisations, les ressources supprimées et l’accès aux journaux. Ces journaux d’audit sont utiles pour vérifier les révocations ou examiner n’importe quelle activité. Pour plus d’informations, consultez Access, exporter et filtrer les journaux d’audit.

Forum Aux Questions (FAQ)

Q : Que se passe-t-il à un pater si un utilisateur quitte ma société ?

R : Une fois qu’un utilisateur a été supprimé de l’ID Microsoft Entra, les jetons PAT et FedAuth invalident dans un délai d’une heure, car le jeton d’actualisation n’est valide que pendant une heure.

Q : Dois-je révoquer des jetons web JSON (JWTs) ?

R : Si vous avez des JWT que vous pensez être révoqués, nous vous recommandons de le faire rapidement. Révoquez les JWT émis dans le cadre du flux OAuth à l’aide du script PowerShell. Veillez à utiliser l’option de plage de dates dans le script.