Partekatu honen bidez:


Uso de tokens de acceso personal

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Un token de acceso personal (PAT) sirve como contraseña alternativa para autenticarse en Azure DevOps. Este PAT le identifica y determina la accesibilidad y el ámbito de acceso. Por lo tanto, trate los PAT con el mismo nivel de precaución que las contraseñas.

Cuando se usan herramientas de Microsoft, la cuenta de Microsoft (MSA) o el identificador de Microsoft Entra es un método reconocido y compatible. Si usa herramientas que no son de Microsoft que no admiten cuentas de Microsoft o Microsoft Entra, o si prefiere no compartir sus credenciales principales con estas herramientas, los PAT son una alternativa adecuada.

Este artículo le guía por la creación, el uso, la modificación y la revocación de PAT para Azure DevOps.

Puede administrar LOS PAT mediante los métodos siguientes:

Para establecer PAT para herramientas que no son de Microsoft, puede usar administradores de credenciales de Git o generarlos manualmente. Se recomienda revisar nuestra guía de autenticación para elegir el mecanismo de autenticación adecuado. Los PAT proporcionan una alternativa sencilla para proyectos más pequeños que no requieren una solución extensa. Sin un administrador de credenciales, los usuarios escriben sus credenciales cada vez.

Requisitos previos

  • Permisos:
    • Tener permiso para acceder y modificar la configuración del usuario en la que se administran los PAT.
      • Comprobar permisos: para comprobar los permisos, realice cualquiera de los siguientes procesos en Azure DevOps:
        • Vaya a su perfil y seleccione Configuración de>usuario Tokens de acceso personal. Si puede ver y administrar sus PAT aquí, tiene los permisos necesarios.
        • Vaya al proyecto y seleccione Permisos de configuración>del proyecto. Busque su cuenta de usuario en la lista y compruebe los permisos asignados. Busque permisos relacionados con la administración de tokens o la configuración del usuario.
    • Si su organización tiene directivas en vigor, es posible que un administrador de Azure DevOps tenga que concederle permisos específicos o agregarle a una lista de permitidos para crear y administrar PAT.
    • En función de las tareas que quiera realizar con el PAT, es posible que necesite permisos adicionales. Por ejemplo:
      • Compilación: Lectura y ejecución
      • Código: Lectura, escritura y administración
      • Entorno: Leer y administrar
      • Proyecto y equipo: Lectura, escritura y administración
      • Grupos de variables: Leer y crear
  • Niveles de acceso: tenga al menos acceso básico.
  • Procedimientos recomendados de seguridad: familiarícese con los procedimientos recomendados de seguridad para administrar PAT, como usarlos solo cuando sea necesario y rotarlos con regularidad.

Creación de un PAT

  1. Inicie sesión en su organización (https://dev.azure.com/{Your_Organization}).

  2. En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.

    Captura de pantalla que muestra la selección, Tokens de acceso personal.

  3. Seleccione + New Token (+ Nuevo token).

    Captura de pantalla que muestra la selección, Nuevo token.

  4. Asigne un nombre al token, seleccione la organización en la que desea usar el token y, a continuación, establezca el token para que expire automáticamente después de un número establecido de días.

    Captura de pantalla que muestra la entrada de la información básica del token.

  5. Seleccione los ámbitos de este token para autorizar las tareas específicas.

    Por ejemplo, para crear un token para que un agente de compilación y versión se autentique en Azure DevOps, establezca el ámbito del token en Grupos de agentes (leer y administrar). Para leer eventos de registro de auditoría y administrar o eliminar secuencias, seleccione Leer registro de auditoría y, a continuación, seleccione Crear.

    Captura de pantalla que muestra los ámbitos seleccionados para un PAT.

    Nota:

    Es posible que esté restringido a la creación de PAT de ámbito completo. Si es así, el administrador de Azure DevOps en el identificador de Microsoft Entra ha habilitado una directiva que le limita a un conjunto de ámbitos específico definido por el usuario. Para obtener más información, consulte Administración de PAT con directivas o Restricción de la creación de PAT de ámbito completo. Para un PAT definido de forma personalizada, el ámbito necesario para acceder a la API de gobernanza de componentes, vso.governance, no se puede seleccionar en la interfaz de usuario.

  6. Cuando haya terminado, copie el token y almacénelo en una ubicación segura. Para su seguridad, no se vuelve a mostrar.

    Captura de pantalla que muestra cómo copiar el token en el Portapapeles.

Use el PAT en cualquier lugar donde se requieran las credenciales de usuario para la autenticación en Azure DevOps.

Importante

  • Trate un PAT con la misma precaución que su contraseña y manténgalo confidencial.
  • Inicie sesión con su nuevo PAT en un plazo de 90 días para las organizaciones respaldadas por microsoft Entra ID; de lo contrario, el PAT se vuelve inactivo. Para obtener más información, consulte Frecuencia de inicio de sesión de usuario para el acceso condicional.

Notificaciones

Durante la vida útil de un PAT, los usuarios reciben dos notificaciones: la primera en el momento de la creación y el segundo siete días antes de su expiración.

Después de crear un PAT, recibirá una notificación similar al ejemplo siguiente. Esta notificación sirve como confirmación de que el PAT se agregó correctamente a su organización.

Captura de pantalla que muestra la notificación creada por PAT.

En la imagen siguiente se muestra un ejemplo de la notificación de siete días antes de que expire el PAT.

Captura de pantalla que muestra la notificación de expiración cercana a PAT.

Notificación inesperada

Si recibe una notificación pat inesperada, puede significar que un administrador o una herramienta crearon una PAT automáticamente. Aquí hay algunos ejemplos.

  • Se crea un token denominado "git: https://dev.azure.com/{Your_Organization} on YourMachine" al conectarse a un repositorio de Git de Azure DevOps a través de git.exe.
  • Se crea un token denominado "Service Hooks: : App de Azure Service: : Deploy web app" cuando usted o un administrador configuran una implementación de aplicación web de App de Azure Service.
  • Se crea un token denominado "WebAppLoadTestCDIntToken" cuando usted o un administrador configuran pruebas de carga web como parte de una canalización.
  • Se crea un token denominado "Integración de Microsoft Teams" cuando se configura una extensión de mensajería de integración de Microsoft Teams.

Advertencia

  • Revoque el PAT si sospecha que existe en error. Siga los pasos para revocar el PAT y cambiar la contraseña.
  • Compruebe con el administrador si es un usuario de Microsoft Entra para ver si una ubicación o origen desconocidos ha accedido a su organización.
  • Revise las preguntas más frecuentes sobre las comprobaciones pat accidentales en repositorios públicos de GitHub.

Usar un PAT

Su PAT actúa como identidad digital, de forma muy similar a una contraseña.

Git

Las interacciones de Git requieren un nombre de usuario, que puede ser cualquier cosa excepto una cadena vacía. Para usar un PAT con autenticación http básica, Base64-encode como $MyPat se muestra en el siguiente bloque de código.

En PowerShell, escriba el código siguiente.

$MyPat = 'yourPat'
$headerValue = "Authorization: Basic " + [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes(":" + $MyPat))
$env:GIT_AUTH_HEADER = $headerValue

git --config-env=http.extraheader=GIT_AUTH_HEADER clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName

Use administradores de credenciales para evitar escribir las credenciales cada vez y mantener el token más seguro:

Repositorios existentes

  • Quitar el origen existente: si anteriormente agregó el origen mediante un nombre de usuario, quítelo ejecutando el siguiente comando:

    git remote remove origin

  • Autenticación con un PAT: si encuentra problemas con la autenticación estándar, ejecute el siguiente comando para autenticarse a través de la línea de comandos:

    git remote add origin https://dev.azure.com/<PAT>@<company_machineName>:/<project-name>/_git/<repo_name>

    git push -u origin --all

    path to git repo = /_git/do hace referencia a la estructura de ruta de acceso de dirección URL usada en Azure DevOps para repositorios de Git. El /_git/ segmento indica que está accediendo a un repositorio de Git y debe reemplazar por do el nombre real del repositorio. Por ejemplo, si el repositorio se denomina my-repo, la ruta de acceso sería "/_git/my-repo".

  • Clonar repositorio: si usa Git y necesita autenticarse, ejecute el siguiente comando:

    git clone https://{organization}@dev.azure.com/{organization}/_git/{repository}

    Reemplace por {organization} el nombre de la organización de Azure DevOps y {repository} por el nombre del repositorio.

Uso de un PAT en el código

Puede usar un PAT en el código para autenticar solicitudes de API y automatizar flujos de trabajo. Para ello, incluya el PAT en el encabezado de autorización de las solicitudes HTTP.

Para proporcionar el PAT a través de un encabezado HTTP, primero conviértalo en una Base64 cadena. En el ejemplo siguiente se muestra cómo convertir a Base64 mediante C#.


Authorization: Basic BASE64_USERNAME_PAT_STRING

A continuación, se puede proporcionar la cadena resultante como un encabezado HTTP en el formato siguiente.

En el ejemplo siguiente se usa la clase HttpClient en C#.

public static async void GetBuilds()
{
    try
    {
        var personalaccesstoken = "PATFROMWEB";

        using (HttpClient client = new HttpClient())
        {
            client.DefaultRequestHeaders.Accept.Add(
                new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

            client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
                Convert.ToBase64String(
                    System.Text.ASCIIEncoding.ASCII.GetBytes(
                        string.Format("{0}:{1}", "", personalaccesstoken))));

            using (HttpResponseMessage response = client.GetAsync(
                        "https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
            {
                response.EnsureSuccessStatusCode();
                string responseBody = await response.Content.ReadAsStringAsync();
                Console.WriteLine(responseBody);
            }
        }
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex.ToString());
    }
}

Sugerencia

Al usar variables, agregue un $ al principio de la cadena, como en el ejemplo siguiente.

public static async void GetBuilds()
{
   try
  {
      var personalaccesstoken = "PATFROMWEB";

      using (HttpClient client = new HttpClient())
       {
           client.DefaultRequestHeaders.Accept.Add(
              new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

           client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
               Convert.ToBase64String(
                   System.Text.ASCIIEncoding.ASCII.GetBytes(
                       string.Format("{0}:{1}", "", personalaccesstoken))));

          using (HttpResponseMessage response = client.GetAsync(
                       $"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
           {
               response.EnsureSuccessStatusCode();
               string responseBody = await response.Content.ReadAsStringAsync();
               Console.WriteLine(responseBody);
           }
       }
   }
   catch (Exception ex)
   {
       Console.WriteLine(ex.ToString());
   }
}

Cuando el código funciona, es un buen momento para cambiar de autenticación básica a OAuth.

Para obtener más información y ejemplos de cómo usar PAT, consulte los siguientes artículos:

Modificación de un PAT

Siga estos pasos para:

  • Vuelva a generar un PAT para crear un nuevo token, que invalida el anterior.
  • Amplíe un PAT para aumentar su período de validez.
  • Modifique el ámbito de un PAT para cambiar sus permisos.
  1. En la página principal, abra la configuración del usuario y, a continuación, seleccione Perfil.

    Captura de pantalla que muestra la secuencia de botones para seleccionar modificar un PAT.

  2. En Seguridad, seleccione Tokens de acceso personal. Seleccione el token que desea modificar y, a continuación , Editar.

    Captura de pantalla que muestra el botón Editar resaltado para modificar PAT.

  3. Edite el nombre del token, la expiración del token o el ámbito de acceso asociado al token y, a continuación, seleccione Guardar.

    Captura de pantalla que muestra PAT modificado.

Revocar un PAT

Puede revocar un PAT en cualquier momento por estos y otros motivos:

  • Revoque un PAT si sospecha que está en peligro.
  • Revoque un PAT cuando ya no sea necesario.
  • Revoque un PAT para aplicar directivas de seguridad o requisitos de cumplimiento.
  1. En la página principal, abra la configuración del usuario y, a continuación, seleccione Perfil.

    Captura de pantalla que muestra la secuencia de botones para seleccionar, Team Services, la página Vista previa y revocar un PAT.

  2. En Seguridad, seleccione Tokens de acceso personal. Seleccione el token para el que desea revocar el acceso y, a continuación, seleccione Revocar.

    Captura de pantalla que muestra la selección para revocar un solo token o todos los tokens.

  3. Seleccione Revocar en el cuadro de diálogo de confirmación.

    Captura de pantalla que muestra la pantalla de confirmación para revocar PAT.

Para obtener más información, consulte Revocación de PAT de usuario para administradores.

Cambios en el formato

A partir de julio de 2024, hemos cambiado significativamente el formato de los PAT emitidos por Azure DevOps. Estos cambios proporcionan más ventajas de seguridad y mejoran las herramientas de detección de secretos disponibles a través de nuestras ofertas de asociados, como GitHub Advanced Security para Azure DevOps. Este nuevo formato PAT sigue el formato recomendado en todos los productos de Microsoft. La inclusión de bits más identificables mejora la tasa de detección de falsos positivos de estas herramientas de detección de secretos y nos permite mitigar las pérdidas detectadas más rápido.

Cambios clave:

  • Aumento de la longitud del token: los nuevos tokens tienen ahora 84 caracteres, con 52 caracteres siendo datos aleatorios. Esta mayor longitud mejora la entropía general, lo que hace que los tokens sean más resistentes a posibles ataques por fuerza bruta.
  • Firma fija: los tokens emitidos por nuestro servicio incluyen una firma fija AZDO en las posiciones 76-80.

Acción necesaria:

  • Regenerar los PAT existentes: se recomienda encarecidamente volver a generar todos los PAT actualmente en uso para aprovechar estas mejoras de seguridad.
  • Compatibilidad con el integrador: los integradores deben actualizar sus sistemas para adaptarse a las longitudes de token nuevas y existentes.

Importante

Ambos formatos siguen siendo válidos para el futuro previsible, pero animamos activamente a los clientes a realizar la transición al nuevo formato de 84 caracteres. A medida que aumenta la adopción del nuevo formato, consideramos la posibilidad de retirar el formato de 52 caracteres anterior y todos los tokens emitidos en ese estilo.

Preguntas más frecuentes

P: ¿Por qué no puedo editar o volver a generar un PAT con ámbito en una sola organización?

R: Asegúrese de que ha iniciado sesión en la organización en la que está el ámbito de PAT. Puede ver todos los PAT mientras ha iniciado sesión en cualquier organización en el mismo identificador de Entra de Microsoft, pero solo puede editar tokens con ámbito de organización cuando haya iniciado sesión en la organización a la que se limita.

P: ¿Qué ocurre con un PAT si una cuenta de usuario está deshabilitada?

R: Cuando se quita un usuario de Azure DevOps, el PAT invalida en un plazo de 1 hora. Si su organización está conectada al identificador de Microsoft Entra, el PAT también invalida en el identificador de Microsoft Entra, ya que pertenece al usuario. Se recomienda rotar el PAT a otra cuenta de usuario o servicio para mantener los servicios en ejecución.

P: ¿Hay alguna manera de renovar un PAT a través de la API REST?

R: Sí, hay una manera de renovar, administrar y crear PAT mediante nuestras API de administración del ciclo de vida de PAT. Para más información, consulte Administración de PAT mediante la API REST y las preguntas más frecuentes.

P: ¿Puedo usar la autenticación básica con todas las API REST de Azure DevOps?

R: No. Puede usar la autenticación básica con la mayoría de las API REST de Azure DevOps, pero las organizaciones y los perfiles solo admiten OAuth. Para más información, consulte Administración de PAT mediante la API REST.

P: ¿Qué ocurre si se comprueba accidentalmente mi PAT en un repositorio público en GitHub?

R: Azure DevOps examina los PAT protegidos en repositorios públicos en GitHub. Cuando encontramos un token filtrado, enviamos inmediatamente una notificación por correo electrónico detallada al propietario del token y registramos un evento en el registro de auditoría de la organización de Azure DevOps. A menos que deshabilite la directiva Revocar automáticamente tokens de acceso personal filtrados, revocamos inmediatamente el PAT filtrado. Animamos a los usuarios afectados a mitigar el problema revocando el token filtrado y reemplazandolo por un nuevo token.

Para obtener más información, consulte Revocación automática de PAT filtradas.

P: ¿Puedo usar un token de acceso personal como ApiKey para publicar paquetes NuGet en una fuente de Azure Artifacts mediante la línea de comandos dotnet/nuget.exe?

R: No. Azure Artifacts no admite el paso de un token de acceso personal como ApiKey. Al usar un entorno de desarrollo local, se recomienda instalar el Proveedor de credenciales de Azure Artifacts para autenticarse con Azure Artifacts. Para obtener más información, vea los ejemplos siguientes: dotnet, NuGet.exe. Si desea publicar los paquetes mediante Azure Pipelines, use la tarea Autenticación de NuGet para autenticarse con el ejemplo de fuente.

P: ¿Por qué mi PAT detuvo el trabajo?

R: La autenticación pat requiere que inicie sesión periódicamente en Azure DevOps mediante el flujo de autenticación completo. Iniciar sesión una vez cada 30 días es suficiente para muchos usuarios, pero es posible que tenga que iniciar sesión con más frecuencia en función de la configuración de Microsoft Entra. Si el PAT deja de funcionar, intente iniciar sesión en su organización y complete el mensaje de autenticación completo. Si el PAT sigue sin funcionar, compruebe si ha expirado.

P: Cómo crear claves de acceso que no están vinculadas a una persona específica con fines de implementación?

R: En Azure DevOps, puede crear claves de acceso que no están vinculadas a una persona específica mediante entidades de servicio o Administrar identidades. Para más información, consulte Administración de conexiones de servicio, Uso de secretos de Azure Key Vault en Azure Pipelines.