Odwoływanie osobistych tokenów dostępu dla użytkowników organizacji

  • Artykuł

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Jeśli osobisty token dostępu (PAT) zostanie naruszony, kluczowe znaczenie ma szybkie działanie. Administratorzy mogą odwołać identyfikator PAT użytkownika jako środek zabezpieczający w celu ochrony organizacji. Ponadto wyłączenie konta użytkownika również odwołuje swój token dostępu. Opóźnienie, do jednej godziny, zanim pat stanie się nieaktywny. Ten okres opóźnienia będzie się powtarzać, dopóki operacja wyłączenia lub usunięcia nie zostanie w pełni przetworzona w identyfikatorze Entra firmy Microsoft.

Wymagania wstępne

Poziom dostępu: właściciel organizacji lub członek grupy Administratorzy kolekcji projektów

Napiwek

Jeśli chcesz utworzyć lub odwołać własne punkty dostępu, zobacz Tworzenie lub odwoływanie osobistych tokenów dostępu.

Odwoływanie paT

  1. Aby odwołać autoryzacje protokołu OAuth, w tym paTs, dla użytkowników organizacji, zobacz Odwołania tokenów — odwoływanie autoryzacji.
  2. Użyj tego skryptu programu PowerShell, aby zautomatyzować wywoływanie nowego interfejsu API REST, przekazując listę głównych nazw użytkowników (UPN). Jeśli nie znasz nazwy UPN użytkownika, który utworzył pat, użyj tego skryptu, jednak musi on być oparty na zakresie dat.

Uwaga

W przypadku używania zakresu dat wszystkie tokeny internetowe JSON (JWTs) również zostaną odwołane. Wszystkie narzędzia, które opierają się na tych tokenach, nie będą działać do czasu odświeżenia przy użyciu nowych tokenów.

  1. Po pomyślnym odwołaniu odpowiednich punktów dostępu użytkowników poinformuj użytkowników. W razie potrzeby mogą odtworzyć swoje tokeny.

Wygaśnięcie tokenu FedAuth

Token FedAuth jest wystawiany podczas logowania. Jest to ważne dla siedmiodniowego okna przesuwnego. Wygaśnięcie automatycznie wydłuża kolejne siedem dni za każdym razem, gdy odświeżysz je w oknie przewijania. Jeśli użytkownicy regularnie uzyskują dostęp do usługi, wymagane jest tylko początkowe logowanie. Po upływie okresu braku aktywności przez siedem dni token staje się nieprawidłowy i użytkownik musi zalogować się ponownie.

Wygaśnięcie osobistego tokenu dostępu

Użytkownicy mogą wybrać datę wygaśnięcia osobistego tokenu dostępu, a nie przekraczać jednego roku. Zalecamy używanie krótszych okresów, generowania nowych punktów paT po wygaśnięciu. Użytkownicy otrzymują wiadomość e-mail z powiadomieniem tydzień przed wygaśnięciem tokenu. Użytkownicy mogą wygenerować nowy token, przedłużyć wygaśnięcie istniejącego tokenu lub w razie potrzeby zmienić zakres istniejącego tokenu.

Dzienniki inspekcji

Jeśli Twoja organizacja jest połączona z identyfikatorem Entra firmy Microsoft, masz dostęp do dzienników inspekcji, które śledzą różne zdarzenia, w tym zmiany uprawnień, usunięte zasoby i dostęp do dzienników, między innymi. Jeśli musisz sprawdzić odwołania lub zbadać jakiekolwiek działania, dzienniki inspekcji są cennym zasobem. Aby uzyskać więcej informacji, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji).

Często zadawane pytania (FAQ)

.: Co się stanie z patem dostępu, jeśli użytkownik opuści firmę?

1: Gdy użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, tokeny PATs i FedAuth unieważniają się w ciągu godziny, ponieważ token odświeżania jest ważny tylko przez jedną godzinę.

.: Czy należy odwołać tokeny internetowe JSON (JWTs)?

1: Jeśli masz JWTs, które uważasz za odwołane, sugerujemy, aby to zrobić. Odwołaj JWTs wydane w ramach przepływu OAuth za pośrednictwem skryptu programu PowerShell. Należy jednak użyć opcji zakresu dat w skrycie.