Odvolávání tokenů PAT pro uživatele organizace

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

V případě ohrožení osobního přístupového tokenu (PAT) je důležité jednat rychle. Správci mají možnost odvolat pat uživatele jako bezpečnostní opatření k ochraně organizace. Zakázáním účtu uživatele se navíc zruší platnost pat. Zpoždění je až jedna hodina, než se PAT stane neaktivním. Tato doba latence přetrvává, dokud se operace zákazu nebo odstranění plně nezpracuje v MICROSOFT Entra ID.

Požadavky

Úroveň přístupu: Vlastník organizace nebo člen skupiny Správci kolekce projektů

Pokud chcete vytvořit nebo odvolat vlastní paty pro uživatele, přečtěte si téma Vytvoření nebo odvolání tokenů pat.

Odvolání PAT

1. Pokud chcete odvolat autorizaci OAuth, včetně patů, pro uživatele vaší organizace, přečtěte si téma Odvolání tokenů – Odvolání autorizací.
2. Pomocí tohoto skriptu PowerShellu můžete automatizovat volání nového rozhraní REST API předáním seznamu hlavních názvů uživatelů (UPN). Pokud hlavní název uživatele, který vytvořil pat, neznáte, použijte tento skript, ale musí být založen na rozsahu kalendářních dat.

Poznámka:

Když použijete rozsah kalendářních dat, dojde také k odvolání webových tokenů JSON (JWT). Všechny nástroje, které se na tyto tokeny spoléhají, nebudou fungovat, dokud se neaktualizuje s novými tokeny.

3. Po úspěšném odvolání ovlivněných patů informujte uživatele. Podle potřeby můžou tokeny znovu vytvořit.

Vypršení platnosti tokenu FedAuth

Token FedAuth se vydá při přihlášení. Platí pro sedmidenní posuvné okno. Platnost platnosti se automaticky prodlouží o sedm dní, kdykoli ji aktualizujete v posuvném okně. Pokud uživatelé k této službě přistupují pravidelně, je potřeba jenom počáteční přihlášení. Po uplynutí 7 dnů nečinnosti se token stane neplatným a uživatel se musí znovu přihlásit.

Vypršení platnosti tokenu pat

Uživatelé můžou zvolit datum vypršení platnosti svého osobního přístupového tokenu, které nesmí překročit jeden rok. Doporučujeme používat kratší časová období a generovat nové paty po vypršení platnosti. Uživatelé dostanou e-mail s oznámením o jednom týdnu před vypršením platnosti tokenu. Uživatelé můžou vygenerovat nový token, prodloužit platnost stávajícího tokenu nebo v případě potřeby změnit rozsah stávajícího tokenu.

Nejčastější dotazy

Otázka: Co když uživatel odejde z mé společnosti?

A: Po odebrání uživatele z ID Microsoft Entra platnost tokenů PAT a FedAuth se za hodinu zruší, protože obnovovací token je platný pouze po dobu jedné hodiny.

Otázka: Mám odvolat webové tokeny JSON (JWT)?

A: Pokud máte JWT, u kterých se domníváte, že by měly být odvolány, doporučujeme, abyste to udělali. Odvolání JWT vydaných jako součást toku OAuth prostřednictvím skriptu PowerShellu Ve skriptu však musíte použít možnost rozsahu kalendářních dat.

Související články

• Jak Microsoft chrání vaše projekty a data v Azure DevOps
• Vytvoření nebo odvolání osobních přístupových tokenů