Megosztás a következőn keresztül:

Személyes hozzáférési tokenek használata

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

A személyes hozzáférési jogkivonat (PAT) alternatív jelszóként szolgál az Azure DevOpsba való hitelesítéshez. Ez a PAT azonosítja Önt, és meghatározza az akadálymentességet és a hozzáférés hatókörét. A paT-okat ugyanolyan óvatossággal kell kezelni, mint a jelszavakat.

A Microsoft-eszközök használatakor a Rendszer felismeri és támogatja a Microsoft-fiókját (MSA) vagy a Microsoft Entra-azonosítót. Ha olyan eszközöket használ, amelyek nem támogatják a Microsoft Entra-fiókokat, vagy ha nem szeretné megosztani az elsődleges hitelesítő adatait, fontolja meg a PAT-k alternatív hitelesítési módszerként való használatát. Javasoljuk azonban, hogy amikor csak lehetséges, Microsoft Entra-jogkivonatokat használjanak a PAT-ok helyett.

Fontos

Javasoljuk a biztonságosabb Microsoft Entra-jogkivonatokat a magasabb kockázatú személyes hozzáférési jogkivonatokkal szemben. További információ a PAT-használat csökkentésére tett erőfeszítéseinkről. Tekintse át a hitelesítési útmutatónkat , és válassza ki az igényeinek megfelelő hitelesítési mechanizmust.

Előfeltételek

Kategória Követelmények
Jogosultságok Engedély a felhasználói beállítások elérésére és módosítására a PAT-k kezelése esetén.
– Nyissa meg a profilját, és válassza a Felhasználói beállításokmenüben a>Személyes hozzáférési jogkivonatoklehetőséget. Ha itt láthatja és kezelheti a paT-jait, rendelkezik a szükséges engedélyekkel.
– Nyissa meg a projektet, és válassza Projektbeállítások>Engedélyeklehetőséget. Keresse meg a felhasználói fiókját a listában, és ellenőrizze az Önhöz rendelt engedélyeket. Keresse meg a jogkivonatok vagy felhasználói beállítások kezelésével kapcsolatos engedélyeket.
– Ha a szervezet rendelkezik szabályzatokkal, előfordulhat, hogy a rendszergazdának adott engedélyeket kell adnia, vagy fel kell vennie Önt egy engedélyezési listára a PAT-k létrehozásához és kezeléséhez.
- A PAT-k a jogkivonatot kiverő felhasználói fiókhoz vannak csatlakoztatva. A PAT által végrehajtott feladatoktól függően előfordulhat, hogy több engedélyre van szüksége.
hozzáférési szintek Legalább alapszintű hozzáférés.
Tevékenységek A PAT-eket csak akkor használja, ha szükséges, és mindig rendszeresen forgassa őket. Tekintse meg a PAT-k használata során ajánlott eljárásokról szóló szakaszt.

PAT létrehozása

  1. Jelentkezzen be a szervezetébe (https://dev.azure.com/{Your_Organization}).

  2. A kezdőlapon nyissa meg a felhasználói beállításokat , és válassza a Személyes hozzáférési jogkivonatok lehetőséget.

    Képernyőkép, amely a kiválasztást és a személyes hozzáférési tokeneket mutatja.

  3. Válassza a + Új token lehetőséget.

    Képernyőkép a kijelölésről: Új token.

  4. Nevezze el a jogkivonatot, válassza ki azt a szervezetet, ahol használni szeretné a jogkivonatot, majd állítsa be, hogy a jogkivonat egy megadott számú nap után automatikusan lejárjon.

    Képernyőkép az alap token információk bejegyzéséről.

  5. Válassza ki a jogkivonat hatóköreit az adott tevékenységek engedélyezéséhez.

    Ha például létrehoz egy jogkivonatot egy build- és kiadási ügynökhöz az Azure DevOpsban való hitelesítéshez, állítsa a jogkivonat hatókörét ügynökkészletekre (Olvasás és kezelés). A naplóesemények olvasásához és a streamek kezeléséhez vagy törléséhez válassza az Auditnapló olvasása, majd a Létrehozás lehetőséget.

    Képernyőkép a PAT kijelölt hatóköreiről.

    Feljegyzés

    A rendszergazda korlátozhatja, hogy teljes hatókörű paT-okat hozzon létre, vagy csak a csomagolási hatókörű PAT-kra korlátozza. Ha további hatókörökhöz szeretne hozzáférni, forduljon a rendszergazdához, hogy felvehesse az engedélyezési listát. Előfordulhat például, hogy egyes hatókörök, mint például vso.governance, nem érhetők el a felhasználói felületen, ha nem a széleskörű nyilvános használatra szánják őket.

  6. Ha elkészült, másolja ki a tokent, és tárolja biztonságos helyre. A biztonság érdekében nem jelenik meg újra.

    Képernyőkép, amely megmutatja, hogyan lehet a tokent vágólapra másolni.

Használja a PAT-t bárhol, ahol a felhasználói hitelesítő adatok szükségesek az Azure DevOpsban való hitelesítéshez.

Fontos

Értesítések

A PAT élettartama alatt a felhasználók két értesítést kapnak: egyet a PAT létrehozásakor, egyet pedig hét nappal a lejáratuk előtt.

A PAT létrehozása után előfordulhat, hogy az alábbi példához hasonló értesítést kap. Ez az értesítés annak megerősítését szolgálja, hogy a PAT sikeresen bekerült a szervezetbe.

Képernyőkép a PAT által létrehozott értesítésről.

A lejárati értesítő e-mailt a rendszer három nappal a lejárat előtt küldi el. Ha a rendszergazda eltávolította a képességedet, hogy PAT-okat hozz létre a szervezetben, az e-mail azt jelzi, hogy már nem lehet újra generálni a PAT-okat. Forduljon a projektgyűjtemény rendszergazdájához , hogy szerepeljen a szervezet folyamatos PAT-létrehozási engedélyeinek engedélyezési listájában.

További információ: SMTP-kiszolgáló konfigurálása és e-mailek testreszabása riasztásokhoz és visszajelzési kérelmekhez.

Váratlan értesítés

Ha váratlan PAT-értesítést kap, az azt jelentheti, hogy egy rendszergazda vagy eszköz létrehozott önnek egy PAT-t. Íme néhány példa:

  • A rendszer létrehoz egy "git: https://dev.azure.com/{Your_Organization} on YourMachine" nevű jogkivonatot, amikor git.exe keresztül csatlakozik egy Azure DevOps Git-adattárhoz.
  • A rendszer létrehoz egy "Service Hooks: Azure App Service: Deploy web app" nevű jogkivonatot, amikor Ön vagy egy rendszergazda beállít egy Azure App Service-webalkalmazás üzembe helyezését.
  • Egy "WebAppLoadTestCDIntToken" nevű token jön létre, amikor Ön vagy egy rendszergazda beállítja a webes terheléstesztelést egy csővezeték részeként.
  • Amikor egy Microsoft Teams integráció üzenetküldő bővítmény kerül beállításra, létrejön egy "Microsoft Teams Integration" nevű token.

Figyelmeztetés

  • Visszavonhatja a PAT- (és módosíthatja a jelszavát), ha azt gyanítja, hogy hiba történt.
  • Kérdezze meg a rendszergazdát, hogy Ön Microsoft Entra-felhasználó-e, és ellenőrizze, hogy ismeretlen forrás vagy hely fért-e hozzá a szervezetéhez.
  • Tekintse át a nyilvános GitHub-adattárakba történő véletlen PAT-bejelentkezésekkel kapcsolatos gyakori kérdéseket.

PAT használata

A PAT az Ön digitális identitásaként szolgál, hasonlóan a jelszóhoz. A PAT-okkal gyorsan elvégezheti az egyszeri kéréseket, vagy helyileg prototípust készíthet egy alkalmazásról. A kódban egy PAT használatával hitelesítheti a REST API-kéréseket , és automatizálhatja a munkafolyamatokat úgy, hogy a PAT-t belefogja a kérés engedélyezési fejlécébe.

Fontos

Miután az alkalmazáskód működik, váltson a Microsoft Entra OAuth-ra, hogy jogkivonatokat szerezzen be az alkalmazás felhasználói nevében, vagy használjon szolgáltatás-főnevet vagy felügyelt identitást, hogy jogkivonatokat szerezzen be alkalmazásként. Nem ajánlott hosszú távon paT-okkal futó alkalmazásokat vagy szkripteket futtatni. A Microsoft Entra-jogkivonatok bárhol használhatók, ahol PAT-t használnak. Az ad-hoc kérésekhez érdemes lehet Microsoft Entra-jogkivonatot beszerezni az Azure CLI-vel .

Először karakterlánccá Base64 kell alakítania a PAT-t, ha HTTP-fejlécen keresztül szeretné megadni. Ezután http-fejlécként is megadható a következő formátumban.


Authorization: Basic BASE64_USERNAME_PAT_STRING

PAT módosítása

Hajtsa végre a következő lépéseket:

  • Hozzon létre egy új tokent, amellyel érvényteleníthető a korábbi PAT.
  • Hosszabbítsa meg a PAT-t az érvényességi időtartam növeléséhez.
  • A PAT hatókörének módosításával változtassa meg az engedélyeket.

  1. A kezdőlapon nyissa meg a felhasználói beállításokat , és válassza a Személyes hozzáférési jogkivonatok lehetőséget.

  2. Jelölje ki a módosítani kívánt tokent, majd Szerkessze.

    Képernyőkép a PAT módosítására kijelölt Szerkesztés gombról.

  3. Szerkessze a jogkivonat nevét, a jogkivonat lejáratát vagy a jogkivonathoz társított hozzáférési hatókört, majd válassza a Mentés lehetőséget.

    Képernyőkép a módosított PAT-ról.

PAT visszavonása

A PAT-t bármikor visszavonhatja az alábbi és egyéb okokból:

  • Biztonsági incidens: Ha azt gyanítja, hogy feltörték, kiszivárogtatták vagy közzétették a naplókban vagy nyilvános adattárakban, azonnal vonja vissza a PAT-t.
  • Már nincs rá szükség: Visszavonja a PAT-t, ha a projekt, szolgáltatás vagy integráció befejeződött vagy megszűnt.
  • Szabályzatmegfelelőség: Visszavonja a PAT-t a biztonsági szabályzatok, a megfelelőségi követelmények vagy a szervezeti jogkivonatok rotálási ütemezésének kikényszerítéséhez.
  • Felhasználói módosítások: Visszavonhatja a PAT-t, ha egy csapattag elhagyja a szervezetet, vagy szerepköröket módosít, és már nincs szüksége hozzáférésre.
  • Hatókör csökkentése: Visszavonhat és újra létrehozhat egy korlátozott engedélyekkel rendelkező PAT-t, ha korlátoznia kell a hozzáférési képességeit.
  • Rendszeres karbantartás: A PAT visszavonása a rutinszintű biztonsági higiénia és a tokenek életciklusának kezelése részeként.

A PAT visszavonásához hajtsa végre az alábbi lépéseket:

  1. A kezdőlapon nyissa meg a felhasználói beállításokat , és válassza a Személyes hozzáférési jogkivonatok lehetőséget.

  2. A Biztonság területen válassza a Személyes hozzáférési jogkivonatok lehetőséget. Válassza ki azt a jogkivonatot, amelyhez vissza szeretné vonni a hozzáférést, majd válassza a Visszavonás lehetőséget.

    Képernyőkép, amely bemutatja egyetlen token vagy az összes token visszavonásának kiválasztását.

  3. Válassza a Visszavonás lehetőséget a megerősítést kérő párbeszédpanelen.

    Képernyőkép a PAT visszavonására szolgáló megerősítési képernyőről.

PAT életciklus-kezelési API-k

A PAT életciklus-kezelési API-k hasznosak lehetnek, ha a nagyszámú jogkivonatok felhasználói felületen keresztüli kezelése fenntarthatatlan. A PAT-rotáció programozott kezelése lehetővé teszi a PAT-k rendszeres elforgatását és az alapértelmezett élettartamuk lerövidítét. A Python-mintaalkalmazás konfigurálható a Microsoft Entra-bérlővel és az Azure DevOps-szervezettel.

Néhány megjegyzés ezekről az API-król:

  • Az API eléréséhez Microsoft Entra hozzáférési jogkivonatokra van szükség, mivel új jogkivonatok létrehozásakor általában erősebb hitelesítési módszert ajánlott alkalmazni.
  • Csak a "felhasználó nevében" folyamatot használó felhasználók vagy alkalmazások hozhatnak létre PAT-okat. Az "alkalmazás nevében" folyamatokat vagy a Microsoft Entra hozzáférési jogkivonatokat nem kibocsátó hitelesítési folyamatokat használó alkalmazások nem érvényesek az API-val való használatra. Ezért a szolgáltatásnevek vagy a felügyelt identitások nem hozhatnak létre vagy kezelhetnek PAT-okat.
  • Korábban a PAT életciklus-kezelési API-k csak a user_impersonation hatókört támogatták, de most már vso.pats elérhető, és ez az ajánlott hatókör ezekhez az API-khoz. Szűkítse azon alkalmazások körét, amelyek korábban user_impersonation támaszkodtak ezeknek az API-knak a meghívására.

Formázási módosítások

2024 júliusától frissítettük a PAT-sztringek formátumát a kiszivárgott PAT-észlelési eszközeinkben és partnerajánlatainkban a titkos kódok észlelésének javítása érdekében. Ez az új PAT-formátum azonosíthatóbb biteket tartalmaz, amelyek javítják a hamis pozitív észlelési arányt ezekben az észlelési eszközökben, és gyorsabban mérsékelik az észlelt szivárgásokat.

  • Az új jogkivonatok mostantól 84 karakter hosszúak, amelyből 52 karakter véletlenszerű adatból áll, ami javítja az általános entrópiát, így a jogkivonatok ellenállóbbak a találgatásos támadásokkal szemben.
  • A szolgáltatásunk által kibocsátott tokenek fix AZDO aláírást tartalmaznak a 76-80. pozícióban.

Ha a megadott dátum előtt kiadott PAT-t használ, generálja újra a PAT-t. Ha integrálva van a PAT-ekkel, és beépített PAT-érvényesítéssel rendelkezik, frissítse az érvényesítési kódot az új és a meglévő tokenhosszok figyelembe fogadására.

Figyelmeztetés

Mindkét formátum a belátható jövőben is érvényes marad. Az új formátum bevezetésének növekedésével megszűnhetnek a régebbi 52 karakteres PAT-k.

Ajánlott eljárások a PAT-k használatához

Alternatív megoldások megfontolása

  • Microsoft Entra-token megszerzése az Azure CLI segítségével ad-hoc kérésekhez, a hosszabb élettartamú személyes hozzáférési token (PAT) létrehozása helyett.
  • Az olyan hitelesítőadat-kezelőket, mint a Git Credential Manager vagy az Azure Artifacts Credential Manager, használja a hitelesítőadatok kezelésének egyszerűsítésére a hitelesítés oauth vagy Microsoft Entra-jogkivonatokkal történő beállításával.

PAT-k létrehozása

  • Ne helyezzen személyes adatokat a PAT névre. Ne nevezze át a PAT nevet úgy, hogy az tartalmazza a tényleges PAT-jogkivonat egy részét vagy egészét.
  • Kerülje a globális PAT-k létrehozását, kivéve, ha minden szervezetnél szükség van gombra.
  • Folyamatonként vagy felhasználói esetenként használjon másik tokent.
  • Válassza ki csak az egyes PAT-ekhez szükséges minimális hatóköröket. Adja meg az adott tevékenységhez szükséges minimális jogosultságot, és hozzon létre különálló, korlátozott hatókörű paT-okat a különböző munkafolyamatokhoz egyetlen, széles hatókörű jogkivonat használata helyett. Ha a PAT-nak csak olvasási engedélyekre van szüksége, ne adjon meg írási engedélyeket, csak ha feltétlenül szükséges.
  • Tartsa rövidre a PAT élettartamát (a heti ideális időtartam, még rövidebb annál jobb).

PAT-k kezelése

  • Ne ossza meg a PAT-jait!
  • A PAT-okat biztonságos kulcskezelési megoldásban, például az Azure KeyVaultban tárolhatja.
  • A PAT-k rendszeres elforgatása vagy újragenerálása felhasználói felületen vagy PAT életciklus-kezelési API-kon keresztül.
  • Vonja vissza a PAT-okat, ha már nincs rájuk szükség.
  • Forgassa át a PAT-eket az új PAT formátum használatára, hogy a titkok észlelése és visszavonása hatékonyabb legyen a belső eszközeinkkel.

Rendszergazdáknak

GYIK

K: Miért nem tudom szerkeszteni vagy újragenerálni egy egyetlen szervezetre kiterjedő PAT-t?

Válasz: Jelentkezzen be abba a szervezetbe, ahol a PAT hatóköre van. A Hozzáférési hatókör szűrőjének módosításával megtekintheti a PAT-okat, ha ugyanabban a Microsoft Entra-azonosítóban van bejelentkezve bármely szervezetbe. A szervezeti hatókörű jogkivonatokat azonban csak akkor szerkesztheti, ha be van jelentkezve az adott szervezetbe.

K: Mi történik a PAT-rel, ha egy felhasználói fiók le van tiltva?

Válasz: Ha egy felhasználót eltávolít az Azure DevOpsból, a PAT 1 órán belül érvényteleníti. Ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz, a PAT a Microsoft Entra-azonosítóban is érvénytelen, mivel az a felhasználóé. Javasoljuk, hogy a szolgáltatások futásának fenntartása érdekében a PAT-t egy másik felhasználóra vagy szolgáltatásfiókra forgtassa.

K: Használhatok PAT-okat az összes Azure DevOps REST API-val?

V.: Nem. A PAT-okat a legtöbb Azure DevOps REST API-val használhatja, de a szervezetek és profilok, valamint a PAT Management Lifecycle API-k csak a Microsoft Entra-jogkivonatokat támogatják.

K: Mi történik, ha véletlenül bejelentkezem a PAT-ból egy nyilvános adattárba a GitHubon?

V: Az Azure DevOps a GitHub nyilvános adattáraiba beadott PAT-okat vizsgálja. Ha kiszivárgott jogkivonatot találunk, azonnal részletes e-mail-értesítést küldünk a jogkivonat tulajdonosának, és naplózunk egy eseményt az Azure DevOps-szervezet naplózási naplójában. Javasoljuk az érintett felhasználókat, hogy a kiszivárogtatott jogkivonat visszavonásával és egy új jogkivonattal való lecserélésével hárítsák el a problémát.

Ha nem tiltotta le a kiszivárgott személyes hozzáférési jogkivonatok automatikus visszavonására vonatkozó szabályzatot , azonnal visszavonjuk a kiszivárgott PAT-t. További információ: A kiszivárgott PAT-k automatikus visszavonása.

K: Használhatok személyes hozzáférési jogkivonatot ApiKey-ként NuGet-csomagok közzétételéhez egy Azure Artifacts-csatornán a dotnet/nuget.exe parancssor használatával?

V.: Nem. Az Azure Artifacts nem támogatja a PAT apiKeyként való átadását. Helyi fejlesztési környezet használata esetén javasoljuk, hogy telepítse a Azure Artifacts hitelesítőadat-szolgáltatót az Azure Artifacts-hitelesítéshez. További információért tekintse meg a következő példákat: .Net, NuGet.exe. Ha az Azure Pipelines használatával szeretné csomagjaidat közzétenni, használja a NuGet-hitelesítés feladatot a saját hírcsatornáddal való hitelesítéshez. Lásd példa.

K: Miért szűnt meg a PAT működése?

Válasz: A PAT-hitelesítéshez rendszeresen be kell jelentkeznie az Azure DevOpsba a teljes hitelesítési folyamat használatával. A 30 naponta egyszeri bejelentkezés sok felhasználó számára elegendő, de előfordulhat, hogy a Microsoft Entra konfigurációjától függően gyakrabban kell bejelentkeznie. Ha a PAT nem működik, először próbáljon meg bejelentkezni a szervezetbe, és fejezze be a teljes hitelesítési kérést. Ha a PAT továbbra sem működik, ellenőrizze, hogy lejárt-e.

Az alapszintű IIS-hitelesítés engedélyezése érvényteleníti az Azure DevOps Server PAT-jait. Javasoljuk, hogy IIS alapszintű hitelesítést mindig kapcsolja ki .

Figyelmeztetés

Ha alapszintű IIS-hitelesítéssel használja a Gitet, a Git megszakad, mert a felhasználói hitelesítéshez PAT-k szükségesek. Hozzáadhat egy további fejlécet a Git-kérelmekhez, hogy az IIS Alapszintű hitelesítéssel használhassa, de ezt a műveletet nem javasoljuk. Az extra fejlécet minden Azure DevOps Server-telepítéshez használni kell, mivel a Windows Auth is megakadályozza a PAT-k használatát. A további fejlécnek tartalmaznia kell egy 64-es alapkódolást user:PATis.

git -c http.extraheader='Authorization: Basic [base 64 encoding of "user:password"]' ls-remote http://tfsserver:8080/tfs/DefaultCollection/_git/projectName

K: Hogyan hozhatok létre olyan hozzáférési jogkivonatokat, amelyek nincsenek személyhez kötve?

V: Az összes PAT hozzá van rendelve az azt létrehozó felhasználói identitáshoz. Az alkalmazások nem hozhatnak létre PAT-okat.

Az Azure DevOpsban olyan hozzáférési jogkivonatokat hozhat létre, amelyek nem kapcsolódnak egy adott felhasználóhoz egy alkalmazás-szolgáltatásnév vagy felügyelt identitás által kibocsátott Microsoft Entra-jogkivonatok használatával. Folyamatok esetében a szolgáltatáskapcsolatokkal biztonságosan hitelesítheti és engedélyezheti az automatizált feladatokat anélkül, hogy felhasználóspecifikus hitelesítő adatokra támaszkodik.

K: Hogyan lehet újragenerálni/elforgatni a PAT-okat az API-n keresztül? Láttam ezt a lehetőséget a felhasználói felületen, de nem látok hasonló metódust az API-ban.

V: A felhasználói felületen elérhető "Újragenerálás" funkció ténylegesen végrehajt néhány műveletet, amelyek API-val replikálhatók.

A PAT elforgatásához hajtsa végre a következő lépéseket:

  1. A PAT metaadatainak megtekintése GET-hívással ,
  2. Hozzon létre egy új PAT-t a régi PAT-azonosítóval POST-hívással,
  3. A régi PAT visszavonása DELETE hívással.

K: Mennyi ideig láthatók a lejárt, visszavont vagy inaktív PAT-k az Azure DevOps-jogkivonatok listájában?

V: A lejárt vagy visszavont PAT-k már nem használhatók és nem hozhatók létre újra. Ezek az inaktív jogkivonatok a lejárat vagy visszavonás után néhány hónapig láthatók maradnak, mielőtt automatikusan eltávolítanák őket a kijelzőről.

K: Megjelenik egy "Rendszergazdai jóváhagyásra van szükség" előugró ablak, amikor egy Microsoft Entra-alkalmazást próbálok használni a PAT Életciklus Felügyeleti API-k meghívásához.

Válasz: A bérlő biztonsági szabályzatai rendszergazdai hozzájárulást igényelnek ahhoz, hogy az alkalmazások hozzáférhessenek a szervezet szervezeti erőforrásaihoz. Lépjen kapcsolatba a bérlői rendszergazdával.

K: Használhatok egyszerű szolgáltatásnevet PAT-k létrehozásához vagy kezeléséhez?

V: Nem, a PAT-k egy felhasználói identitáshoz tartoznak. A Microsoft Entra szolgáltatásnevek vagy felügyelt identitások rövid élettartamú Microsoft Entra-jogkivonatokat hozhatnak létre, amelyeket a legtöbb helyen használhat, ahol a PAT-t elfogadják. Tudjon meg többet az Azure DevOps PAT-használatának csökkentésére tett erőfeszítéseinkről, és fedezze fel a PAT-ek Microsoft Entra-jogkivonatokkal való kiváltását.

Kapcsolódó tartalom