Odvolávání tokenů PAT pro uživatele organizace

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Pokud dojde k ohrožení zabezpečení tokenu PAT (Personal Access Token), je důležité rychle jednat. Správci mohou odvolat pat uživatele jako bezpečnostní opatření k ochraně organizace. Kromě toho zakázání účtu uživatele odvolává také pat. Zpoždění je až jedna hodina, než se pat stane neaktivním. Tato doba latence přetrvává, dokud se operace zákazu nebo odstranění plně nezpracuje v MICROSOFT Entra ID.

Požadavky

Úroveň přístupu: Vlastník organizace nebo člen skupiny Správci kolekce projektů

Tip

Pokud chcete vytvořit nebo odvolat vlastní paty pro uživatele, přečtěte si téma Vytvoření nebo odvolání tokenů pat.

Odvolání PAT

1. Pokud chcete odvolat autorizaci OAuth, včetně patů, pro uživatele vaší organizace, přečtěte si téma Odvolání tokenů – Odvolání autorizací.
2. Pomocí tohoto skriptu PowerShellu můžete automatizovat volání nového rozhraní REST API předáním seznamu hlavních názvů uživatelů (UPN). Pokud hlavní název uživatele, který vytvořil pat, neznáte, použijte tento skript, ale musí být založen na rozsahu kalendářních dat.

Poznámka:

Když použijete rozsah kalendářních dat, dojde také k odvolání webových tokenů JSON (JWT). Všechny nástroje, které se na tyto tokeny spoléhají, nebudou fungovat, dokud se neaktualizuje s novými tokeny.

3. Po úspěšném odvolání ovlivněných patů informujte uživatele. Podle potřeby můžou tokeny znovu vytvořit.

Vypršení platnosti tokenu FedAuth

Token FedAuth se vydá při přihlášení. Platí pro sedmidenní posuvné okno. Platnost platnosti se automaticky prodlouží o sedm dní, kdykoli ji aktualizujete v posuvném okně. Pokud uživatelé k této službě přistupují pravidelně, je potřeba jenom počáteční přihlášení. Po uplynutí 7 dnů nečinnosti se token stane neplatným a uživatel se musí znovu přihlásit.

Vypršení platnosti tokenu pat

Uživatelé můžou zvolit datum vypršení platnosti svého osobního přístupového tokenu, které nesmí překročit jeden rok. Doporučujeme používat kratší časová období a generovat nové paty po vypršení platnosti. Uživatelé dostanou e-mail s oznámením o jednom týdnu před vypršením platnosti tokenu. Uživatelé můžou vygenerovat nový token, prodloužit platnost stávajícího tokenu nebo v případě potřeby změnit rozsah stávajícího tokenu.

Protokoly auditování

Pokud je vaše organizace připojená k Microsoft Entra ID, máte přístup k protokolům auditu, které sledují různé události, včetně změn oprávnění, odstraněných prostředků a přístupu k protokolům. Pokud potřebujete zkontrolovat odvolání nebo prozkoumat jakoukoli aktivitu, jsou protokoly auditu cenným prostředkem. Další informace najdete v tématu Přístup, export a filtrování protokolů auditu.

Nejčastější dotazy

Otázka: Co se stane s patem, když uživatel odejde z mé společnosti?

A: Jakmile se uživatel odebere z ID Microsoft Entra, tokeny PAT a FedAuth se za hodinu zneplatní, protože obnovovací token je platný pouze po dobu jedné hodiny.

Otázka: Mám odvolat webové tokeny JSON (JWT)?

A: Pokud máte JWT, u kterých se domníváte, že by měly být odvolány, doporučujeme, abyste to udělali. Odvolání JWT vydaných jako součást toku OAuth prostřednictvím skriptu PowerShellu Ve skriptu však musíte použít možnost rozsahu kalendářních dat.

Související články

• Jak Microsoft chrání vaše projekty a data v Azure DevOps
• Vytvoření nebo odvolání osobních přístupových tokenů