Odvolávání tokenů PAT pro uživatele organizace

  • Článek

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Pokud dojde k ohrožení zabezpečení tokenu PAT (Personal Access Token), proveďte okamžitou akci. Přečtěte si, jak může správce odvolat pat uživatele jako preventivní opatření k ochraně vaší organizace. Můžete také zakázat uživatele, který odvolá pat. Před tím, než pat přestane fungovat, je latence (až hodinu), ale jakmile se funkce zákazu nebo odstranění dokončí v Microsoft Entra ID.

Požadavky

Přístupy uživatelů můžou odvolat pouze vlastník organizace nebo člen skupiny Kolekce projektů Správa istrators. Pokud nejste členem skupiny Kolekce projektů Správa istrátory, můžete ji přidat jako jednu. Informace o tom, jak najít vlastníka organizace, najdete v tématu Vyhledání vlastníka organizace.

Pokud chcete vytvořit nebo odvolat vlastní paty pro uživatele, přečtěte si téma Vytvoření nebo odvolání tokenů pat.

Odvolání PAT

  1. Pokud chcete odvolat autorizaci OAuth, včetně patů, pro uživatele vaší organizace, přečtěte si téma Odvolání tokenů – Odvolání autorizací.
  2. Pomocí tohoto skriptu PowerShellu můžete automatizovat volání nového rozhraní REST API předáním seznamu hlavních názvů uživatelů (UPN). Pokud hlavní název uživatele, který vytvořil pat, neznáte, použijte tento skript, ale musí být založen na rozsahu kalendářních dat.

Poznámka:

Mějte na paměti, že když použijete rozsah kalendářních dat, dojde také k odvolání webových tokenů JSON (JWT). Mějte také na paměti, že všechny nástroje, které na těchto tokenech spoléhají, nebudou fungovat, dokud se neaktualizuje s novými tokeny.

  1. Po úspěšném odvolání ovlivněných patů dejte uživatelům vědět. Podle potřeby můžou tokeny znovu vytvořit.

Vypršení platnosti tokenu FedAuth

Token FedAuth se vydá při přihlášení. Platí pro sedmidenní posuvné okno. Platnost platnosti se automaticky prodlouží o sedm dní, kdykoli ji aktualizujete v posuvném okně. Pokud uživatelé k této službě přistupují pravidelně, je potřeba jenom počáteční přihlášení. Po uplynutí 7 dnů nečinnosti se token stane neplatným a uživatel se musí znovu přihlásit.

Vypršení platnosti tokenu pat

Uživatelé můžou zvolit datum vypršení platnosti svého osobního přístupového tokenu, které nesmí překročit jeden rok. Doporučujeme používat kratší časová období a generovat nové paty po vypršení platnosti. Uživatelé dostanou e-mail s oznámením o jednom týdnu před vypršením platnosti tokenu. Uživatelé můžou vygenerovat nový token, prodloužit platnost stávajícího tokenu nebo v případě potřeby změnit rozsah stávajícího tokenu.

Nejčastější dotazy

Otázka: Co když uživatel odejde z mé společnosti?

A: Po odebrání uživatele z ID Microsoft Entra platnost tokenů PAT a FedAuth se za hodinu zruší, protože obnovovací token je platný pouze po dobu jedné hodiny.

Otázka: Co webové tokeny JSON (JWT)?

A: Odvolávání JWT vydaných jako součást toku OAuth prostřednictvím skriptu PowerShellu. Ve skriptu však musíte použít možnost rozsahu kalendářních dat.