Megosztás a következőn keresztül:

A szervezeti felhasználók személyes hozzáférési jogkivonatainak visszavonása

  • Cikk

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Személyes hozzáférési jogkivonat (PAT) feltörése esetén elengedhetetlen a gyors cselekvés. A rendszergazdák biztonsági intézkedésként visszavonhatják a felhasználó PAT-ját a szervezet védelme érdekében. Emellett a felhasználói fiók letiltása a PAT-t is visszavonja. A PAT inaktívvá válása előtt akár egy órát is késhet. Ez a késési időszak addig tart, amíg a letiltási vagy törlési művelet teljes mértékben fel nem dolgozódik a Microsoft Entra-azonosítóban.

Előfeltételek

Hozzáférési szint: Szervezet tulajdonosa vagy tagja a Projektgyűjtemény rendszergazdái csoportnak

A felhasználók számára, ha saját paT-okat szeretne létrehozni vagy visszavonni, olvassa el a személyes hozzáférési jogkivonatok létrehozását vagy visszavonását.

PAT-k visszavonása

  1. Ha vissza szeretné vonni az OAuth-engedélyeket, beleértve a paT-okat is, tekintse meg a jogkivonatok visszavonása – Engedélyek visszavonása című témakört.
  2. Ezzel a PowerShell-szkripttel automatizálhatja az új REST API meghívását a felhasználónevek listájának (UPN-ek) átadásával. Ha nem ismeri a PAT-t létrehozó felhasználó UPN-ét, használja ezt a szkriptet, de annak dátumtartományon kell alapulnia.

Feljegyzés

Dátumtartomány használata esetén a JSON webes jogkivonatok (JWT-k) is visszavonásra kerülnek. Az ezekre a jogkivonatokra támaszkodó eszközök csak új jogkivonatokkal frissítve működnek.

  1. Miután sikeresen visszavonta az érintett PAT-eket, tájékoztassa a felhasználókat. Szükség esetén újra létrehozhatják a jogkivonataikat.

FedAuth-jogkivonat lejárata

A bejelentkezéskor egy FedAuth-jogkivonat lesz kibocsátva. Hét napos tolóablakra érvényes. A lejárat automatikusan további hét napot hosszabbít meg, amikor frissíti a tolóablakban. Ha a felhasználók rendszeresen hozzáférnek a szolgáltatáshoz, csak kezdeti bejelentkezésre van szükség. Egy hét napig tartó inaktivitási időszak után a jogkivonat érvénytelenné válik, és a felhasználónak újra be kell jelentkeznie.

Személyes hozzáférési jogkivonat lejárata

A felhasználók választhatnak egy lejárati dátumot a személyes hozzáférési jogkivonatukhoz, és nem léphetik túl az egy évet. Javasoljuk, hogy rövidebb időtartamokat használjon, és a lejáratkor új PAT-okat generáljon. A felhasználók egy héttel a jogkivonat lejárta előtt értesítést kapnak. A felhasználók létrehozhatnak egy új jogkivonatot, meghosszabbíthatják a meglévő jogkivonat lejáratát, vagy szükség esetén módosíthatják a meglévő jogkivonat hatókörét.

Gyakori kérdések (GYIK)

K: Mi történik, ha egy felhasználó elhagyja a vállalatomat?

V: Miután egy felhasználót eltávolítottak a Microsoft Entra-azonosítóból, a PAT-k és a FedAuth-jogkivonatok egy órán belül érvénytelenek lesznek, mivel a frissítési jogkivonat csak egy óráig érvényes.

K: Vissza kell vonni a JSON webes jogkivonatokat (JWT-ket)?

Válasz: Ha olyan JWT-kkel rendelkezik, amelyeket úgy gondol, hogy vissza kell vonnia, javasoljuk, hogy tegye meg. Az OAuth-folyamat részeként kiadott JWT-k visszavonása a PowerShell-szkripten keresztül. A szkriptben azonban a dátumtartomány beállítását kell használnia.