Partager via

Révoquer des jetons d’accès personnels pour les utilisateurs d’une organisation

  • Article

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

En cas de compromission d’un jeton d’accès personnel (PAT), il est essentiel d’agir rapidement. Les administrateurs ont la possibilité de révoquer le PAT d’un utilisateur en tant que mesure de sécurité pour protéger l’organisation. En outre, la désactivation du compte d’un utilisateur révoque également son PAT. Il y a un délai, jusqu’à une heure, avant que le PAT ne devienne inactif. Cette période de latence persiste jusqu’à ce que l’opération de désactivation ou de suppression soit entièrement traitée dans l’ID Microsoft Entra.

Prérequis

Niveau d’accès : propriétaire de l’organisation ou membre du groupe Administrateurs de regroupement de projets

Pour les utilisateurs, si vous souhaitez créer ou révoquer vos propres PAT, consultez Créer ou révoquer des jetons d’accès personnels.

Révoquer des PAT

  1. Pour révoquer les autorisations OAuth, y compris les PAT, pour les utilisateurs de votre organisation, consultez révocations de jetons - Révoquer des autorisations.
  2. Utilisez ce script PowerShell pour automatiser l’appel de la nouvelle API REST en passant une liste de noms d’utilisateur principaux (UPN). Si vous ne connaissez pas l’UPN de l’utilisateur qui a créé le protocole PAT, utilisez ce script, mais il doit être basé sur une plage de dates.

Remarque

Lorsque vous utilisez une plage de dates, tous les jetons web JSON (JWT) sont également révoqués. Tous les outils qui s’appuient sur ces jetons ne fonctionneront pas tant qu’ils ne seront pas actualisés avec de nouveaux jetons.

  1. Une fois que vous avez révoqué les PAT affectés, informez vos utilisateurs. Ils peuvent recréer leurs jetons si nécessaire.

Expiration du jeton FedAuth

Un jeton FedAuth est émis lorsque vous vous connectez. Il est valide pour une fenêtre glissante de sept jours. L’expiration s’étend automatiquement sept jours supplémentaires chaque fois que vous l’actualisez dans la fenêtre glissante. Si les utilisateurs accèdent régulièrement au service, seule une connexion initiale est nécessaire. Après une période d’inactivité prolongée de sept jours, le jeton devient non valide et l’utilisateur doit se reconnecter.

Expiration du jeton d’accès personnel

Les utilisateurs peuvent choisir une date d’expiration pour leur jeton d’accès personnel, sans dépasser un an. Nous vous recommandons d’utiliser des périodes plus courtes, générant de nouveaux PAT à l’expiration. Les utilisateurs reçoivent un e-mail de notification une semaine avant l’expiration du jeton. Les utilisateurs peuvent générer un nouveau jeton, étendre l’expiration du jeton existant ou modifier l’étendue du jeton existant, si nécessaire.

Forum Aux Questions (FAQ)

Q : Que se passe-t-il si un utilisateur quitte ma société ?

R : Une fois qu’un utilisateur a supprimé de Microsoft Entra ID, les jetons PAT et FedAuth invalident dans un délai d’une heure, car le jeton d’actualisation n’est valide que pendant une heure.

Q : Dois-je révoquer des jetons web JSON (JWTs) ?

R : Si vous avez des JWT que vous pensez être révoqués, nous vous suggérons de le faire. Révoquer des JWT, émis dans le cadre du flux OAuth, via le script PowerShell. Toutefois, vous devez utiliser l’option de plage de dates dans le script.