Compartir vía

Revocar tokens de acceso personal para usuarios de la organización

  • Artículo

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

En caso de que un token de acceso personal (PAT) esté en peligro, es fundamental actuar rápidamente. Los administradores tienen la capacidad de revocar el PAT de un usuario como medida de seguridad para proteger la organización. Además, deshabilitar la cuenta de un usuario también revocará su PAT. Hay un retraso, hasta una hora, antes de que el PAT se vuelva inactivo. Este período de latencia persiste hasta que la operación de deshabilitación o eliminación se procesa completamente en el id. de Microsoft Entra.

Requisitos previos

Nivel de acceso: propietario de la organización o miembro del grupo Administradores de la colección de proyectos

Para los usuarios, si desea crear o revocar sus propias PAT, consulte Creación o revocación de tokens de acceso personal.

Revocar PAT

  1. Para revocar las autorizaciones de OAuth, incluidas las PAT, para los usuarios de la organización, consulte Revocaciones de tokens: revocar autorizaciones.
  2. Use este script de PowerShell para automatizar la llamada a la nueva API REST pasando una lista de nombres principales de usuario (UPN). Si no conoce el UPN del usuario que creó el PAT, use este script, pero debe basarse en un intervalo de fechas.

Nota:

Cuando se usa un intervalo de fechas, también se revocan los tokens web JSON (JWT). Las herramientas que se basen en estos tokens no funcionarán hasta que se actualicen con nuevos tokens.

  1. Después de revocar correctamente los PAT afectados, informe a los usuarios. Pueden volver a crear sus tokens según sea necesario.

Expiración del token de FedAuth

Se emite un token de FedAuth al iniciar sesión. Es válido para una ventana deslizante de siete días. La expiración extiende automáticamente otros siete días cada vez que la actualice dentro de la ventana deslizante. Si los usuarios acceden al servicio con regularidad, solo se necesita un inicio de sesión inicial. Después de un período de inactividad que extiende siete días, el token deja de ser válido y el usuario debe iniciar sesión de nuevo.

Expiración del token de acceso personal

Los usuarios pueden elegir una fecha de expiración para su token de acceso personal, no superar un año. Se recomienda usar períodos de tiempo más cortos, generando nuevas PAT tras la expiración. Los usuarios reciben un correo electrónico de notificación una semana antes de que expire el token. Los usuarios pueden generar un nuevo token, ampliar la expiración del token existente o cambiar el ámbito del token existente, si es necesario.

Preguntas más frecuentes (P+F)

P: ¿Qué ocurre si un usuario deja mi empresa?

R: Una vez que se ha quitado un usuario de Microsoft Entra ID, los tokens PAT y FedAuth invalidan en un plazo de una hora, ya que el token de actualización solo es válido durante una hora.

P: ¿Debo revocar tokens web JSON (JWT)?

R: Si tiene JWT que cree que debe revocarse, le sugerimos que lo haga. Revoque los JWT, emitidos como parte del flujo de OAuth, a través del script de PowerShell. Sin embargo, debe usar la opción intervalo de fechas en el script.