Személyes hozzáférési tokenek használata

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020

A személyes hozzáférési jogkivonat (PAT) alternatív jelszóként szolgál az Azure DevOpsba való hitelesítéshez. Ez a PAT azonosítja Önt, és meghatározza az akadálymentességet és a hozzáférés hatókörét. A paT-okat ugyanolyan óvatossággal kell kezelni, mint a jelszavakat.

Ha Microsoft-eszközöket használ, a Rendszer felismeri és támogatja a Microsoft-fiókját vagy a Microsoft Entra-azonosítóját. Ha olyan eszközöket használ, amelyek nem támogatják a Microsoft Entra-fiókokat, vagy ha nem szeretné megosztani az elsődleges hitelesítő adatait, fontolja meg a PAT-k alternatív hitelesítési módszerként való használatát. Javasoljuk, hogy amikor csak lehetséges, használjon Microsoft Entra-jogkivonatokat PAT-k helyett.

Fontos

Javasoljuk a biztonságosabb Microsoft Entra-jogkivonatokat a magasabb kockázatú személyes hozzáférési jogkivonatokkal szemben. További információ a PAT-használat csökkentésére tett erőfeszítéseinkről. Tekintse át a hitelesítési útmutatónkat , és válassza ki az igényeinek megfelelő hitelesítési mechanizmust.

Előfeltételek

Kategória	Követelmények
Permissions	Engedély a felhasználói beállítások elérésére és módosítására a PAT-k kezelése esetén. – Nyissa meg a profilját, és válassza a Felhasználói beállítások>személyes hozzáférési jogkivonatok lehetőséget. Ha itt láthatja és kezelheti a paT-jait, rendelkezik a szükséges engedélyekkel. – Nyissa meg a projektet, és válassza Projektbeállítások>Engedélyeklehetőséget. Keresse meg a felhasználói fiókját a listában, és ellenőrizze az Önhöz rendelt engedélyeket. Keresse meg a jogkivonatok vagy felhasználói beállítások kezelésével kapcsolatos engedélyeket. – Ha a szervezet rendelkezik szabályzatokkal, előfordulhat, hogy a rendszergazdának adott engedélyeket kell adnia, vagy fel kell vennie Önt egy engedélyezési listára a PAT-k létrehozásához és kezeléséhez. - A PAT-k a jogkivonatot kiverő felhasználói fiókhoz vannak csatlakoztatva. A PAT által végrehajtott feladatoktól függően előfordulhat, hogy több engedélyre van szüksége.
Hozzáférési szintek	Legalább alapszintű hozzáférés.
Tasks	A PAT-eket csak akkor használja, ha szükséges, és mindig rendszeresen forgassa őket. Tekintse meg a PAT-k használatának ajánlott eljárásait.

PAT létrehozása

1. Jelentkezzen be a szervezetébe (https://dev.azure.com/{Your_Organization}).

2. A kezdőlapon nyissa meg a felhasználói beállításokat , és válassza a Személyes hozzáférési jogkivonatok lehetőséget.

   

3. Válassza a + Új token lehetőséget.

   

4. Nevezze el a jogkivonatot, válassza ki azt a szervezetet, ahol használni szeretné a jogkivonatot, majd állítsa be, hogy a jogkivonat egy megadott számú nap után automatikusan lejárjon.

   

5. Válassza ki a jogkivonat hatóköreit az adott tevékenységek engedélyezéséhez.

   Ha például létrehoz egy jogkivonatot egy build- és kiadási ügynökhöz az Azure DevOpsban való hitelesítéshez, állítsa a jogkivonat hatókörét ügynökkészletekre (Olvasás és kezelés). A naplóesemények olvasásához és a streamek kezeléséhez vagy törléséhez válassza az Auditnapló olvasása, majd a Létrehozás lehetőséget.

   

   A rendszergazda korlátozhatja, hogy teljes hatókörű paT-okat hozzon létre, vagy csak a csomagolási hatókörű PAT-kra korlátozza. Ha további hatókörökhöz szeretne hozzáférni, forduljon a rendszergazdához, hogy felvehesse az engedélyezési listát. Előfordulhat például, vso.governancehogy egyes hatókörök nem érhetők el a felhasználói felületen (UI), ha nem széles körben használják őket nyilvánosan.

6. Ha végzett, másolja ki a jogkivonatot, és tárolja biztonságos helyen. A biztonság érdekében nem jelenik meg újra.

   

A PAT-t bárhol használhatja, ahol a felhasználói hitelesítő adatok szükségesek az Azure DevOpsban való hitelesítéshez. Emlékezik:

• Kezelje a PAT-t ugyanolyan óvatossággal, mint a jelszava, és tartsa bizalmasan. Ne ossza meg a PATS-t.
• A Microsoft Entra ID által támogatott szervezetek esetében 90 napon belül be kell jelentkeznie az új PAT-jával, vagy inaktívvá válik. További információ: Felhasználói bejelentkezés gyakorisága a feltételes hozzáféréshez.

Értesítések

A PAT élettartama alatt a felhasználók két értesítést kapnak: egyet a PAT létrehozásakor, egyet pedig hét nappal a lejáratuk előtt.

A PAT létrehozása után előfordulhat, hogy az alábbi példához hasonló értesítést kap. Ez az értesítés annak megerősítését szolgálja, hogy a PAT sikeresen bekerült a szervezetbe.

A lejárati értesítő e-mailt a rendszer három nappal a lejárat előtt küldi el. Ha a rendszergazda eltávolította a képességedet, hogy PAT-okat hozz létre a szervezetben, az e-mail azt jelzi, hogy már nem lehet újra generálni a PAT-okat. Kérje meg a projektgyűjtemény rendszergazdáját , hogy szerepeljen a szervezeten belüli folyamatos PAT-létrehozási engedélyek engedélyezési listájában.

További információ: SMTP-kiszolgáló konfigurálása és e-mailek testreszabása riasztásokhoz és visszajelzési kérelmekhez.

Váratlan értesítés

Ha váratlan PAT-értesítést kap, az azt jelentheti, hogy egy rendszergazda vagy eszköz létrehozott önnek egy PAT-t. Íme néhány példa:

• Egy névvel ellátott git: https://dev.azure.com/{Your_Organization} on YourMachine jogkivonat akkor jön létre, ha git.exekeresztül csatlakozik egy Azure DevOps Git-adattárhoz.
• Egy névvel ellátott Service Hooks: Azure App Service: Deploy web app jogkivonat akkor jön létre, amikor Ön vagy egy rendszergazda beállít egy Azure App Service-webalkalmazás üzembe helyezését.
• A rendszer egy névvel ellátott WebAppLoadTestCDIntToken jogkivonatot hoz létre, amikor Ön vagy egy rendszergazda beállít egy folyamat részeként webes terheléstesztelést.
• A rendszer létrehoz egy jogkivonatot Microsoft Teams Integration , amely a Microsoft Teams integrációs üzenetkezelési bővítményének beállításakor jön létre.

Ha úgy gondolja, hogy a helyzet komoly:

• Vonja vissza a PAT-t (és módosítsa a jelszót), ha azt gyanítja, hogy hiba történt.
• Kérdezze meg a rendszergazdát, hogy Ön Microsoft Entra-felhasználó-e, és ellenőrizze, hogy ismeretlen forrás vagy hely fért-e hozzá a szervezetéhez.
• Tekintse át a nyilvános GitHub-adattárakba történő véletlen PAT-bejelentkezésekkel kapcsolatos gyakori kérdéseket.

PAT használata

A PAT az Ön digitális identitásaként szolgál, hasonlóan a jelszóhoz. A PAT-k segítségével gyorsan hajthat végre egyszeri kéréseket, vagy helyileg prototípust készíthet egy alkalmazáson. A kódban használjon PAT-t a REST API-kérések hitelesítéséhez, és automatizálja a munkafolyamatokat úgy, hogy a PAT-t belefogadja a kérés engedélyezési fejlécében.

Az alkalmazáskód működése után váltson a Microsoft Entra OAuth-ra, hogy jogkivonatokat szerezzen be az alkalmazás felhasználóinak vagy egy szolgáltatásnévnek vagy felügyelt identitásnak a jogkivonatok alkalmazásként való beszerzéséhez. Nem javasoljuk, hogy hosszú távon is futtasson alkalmazásokat vagy szkripteket paT-okkal. A Microsoft Entra-jogkivonatokat bárhol használhatja, ahol patot használ.

Alkalmi kérések esetén fontolja meg a Microsoft Entra-jogkivonat beszerzését az Azure CLI-vel .

Windows

Először karakterlánccá Base64 kell alakítania a PAT-t, ha HTTP-fejlécen keresztül szeretné megadni. Ezután http-fejlécként is megadható a következő formátumban:

Authorization: Basic BASE64_USERNAME_PAT_STRING

Linux/macOS

Az alábbi minta lekéri a buildek listáját a curl használatával:

curl -u :{PAT} https://dev.azure.com/{organization}/_apis/build-release/builds

PAT módosítása

Hajtsa végre a következő lépéseket:

• Hozzon létre egy új tokent, amellyel érvényteleníthető a korábbi PAT.
• Hosszabbítsa meg a PAT-t az érvényességi időtartam növeléséhez.
• A PAT hatókörének módosításával változtassa meg az engedélyeket.

1. A kezdőlapon nyissa meg a felhasználói beállításokat , és válassza a Személyes hozzáférési jogkivonatok lehetőséget.

2. Jelölje ki a módosítani kívánt jogkivonatot, majd válassza a Szerkesztés lehetőséget.

   

3. Szerkessze a jogkivonat nevét, a jogkivonat lejáratát vagy a jogkivonathoz társított hozzáférési hatókört, majd válassza a Mentés lehetőséget.

   

PAT visszavonása

A PAT-t bármikor visszavonhatja az alábbi és egyéb okokból:

• Biztonsági incidens: Ha azt gyanítja, hogy feltörték, kiszivárogtatták vagy közzétették a naplókban vagy nyilvános adattárakban, azonnal vonja vissza a PAT-t.
• Már nincs rá szükség: Visszavonja a PAT-t, ha a projekt, szolgáltatás vagy integráció, amelyhez létrejött, befejeződött vagy megszűnt.
• Szabályzatmegfelelőség: Visszavonja a PAT-t a biztonsági szabályzatok, a megfelelőségi követelmények vagy a szervezeti jogkivonatok rotálási ütemezésének kikényszerítéséhez.
• Felhasználói módosítások: Visszavonhatja a PAT-t, ha egy csapattag elhagyja a szervezetet, vagy szerepköröket módosít, és már nincs szüksége hozzáférésre.
• Hatókör csökkentése: Visszavonhatja és újra létrehozhat egy korlátozott engedélyekkel rendelkező PAT-t, ha korlátoznia kell a hozzáférési képességeit.
• Rendszeres karbantartás: A PAT visszavonása a rutinszintű biztonsági higiénia és a tokenek életciklusának kezelése részeként.

Pat visszavonásához kövesse az alábbi lépéseket:

1. A kezdőlapon nyissa meg a felhasználói beállításokat , és válassza a Személyes hozzáférési jogkivonatok lehetőséget.

2. A Biztonság területen válassza a Személyes hozzáférési jogkivonatok lehetőséget. Válassza ki azt a jogkivonatot, amelyhez vissza szeretné vonni a hozzáférést, majd válassza a Visszavonás lehetőséget.

   

3. A Megerősítés párbeszédpanelen válassza a Visszavonás lehetőséget.

   

PAT életciklus-kezelési API-k

A PAT életciklus-kezelési API-k akkor lehetnek hasznosak, ha nagy mennyiségű jogkivonatot tart fenn a felhasználói felületen keresztül. A PAT-rotáció programozott kezelése lehetővé teszi a PAT-k rendszeres elforgatását és az alapértelmezett élettartamuk lerövidítét. A minta Python-alkalmazást konfigurálhatja a Microsoft Entra-bérlővel és az Azure DevOps-szervezettel.

Néhány megjegyzés ezekről az API-król:

• Az API eléréséhez Microsoft Entra hozzáférési jogkivonatokra van szükség. Javasoljuk, hogy az új jogkivonatok használatakor erősebb hitelesítési formát használjon.
• Csak a "felhasználó nevében" folyamatot használó felhasználók vagy alkalmazások hozhatnak létre PAT-okat. Az "alkalmazás nevében" folyamatokat vagy hitelesítési folyamatokat használó alkalmazások, amelyek nem adnak ki Microsoft Entra hozzáférési jogkivonatokat, nem érvényesek az API-val való használatra. Ezért a szolgáltatásnevek vagy a felügyelt identitások nem hozhatnak létre vagy kezelhetnek PAT-okat.
• Korábban a PAT életciklus-kezelési API-k csak a user_impersonation hatókört támogatták, de most vso.pats már elérhetők, és ezek az API-khoz ajánlott hatókörök. Szűkítse azon alkalmazások körét, amelyek korábban user_impersonation támaszkodtak ezeknek az API-knak a meghívására.

Formázási módosítások

2024 júliusától frissítettük a PAT-sztringek formátumát a kiszivárgott PAT-észlelési eszközeinkben és partnerajánlatainkban a titkos kódok észlelésének javítása érdekében. Ez az új PAT-formátum azonosíthatóbb biteket tartalmaz, amelyek javítják a hamis pozitív észlelési arányt ezekben az észlelési eszközökben, és gyorsabban mérsékelik az észlelt szivárgásokat.

• Az új jogkivonatok mostantól 84 karakter hosszúak, és 52 karaktert véletlenszerű adatnak tekintenek, ami javítja az általános entrópiát. A tokenek ellenállóbbak a találgatásos támadásokkal szemben.
• A szolgáltatásunk által kibocsátott tokenek fix AZDO aláírást tartalmaznak a 76-80. pozícióban.

Ha a megadott dátum előtt kiadott PAT-t használ, generálja újra a PAT-t. Ha integrálva van a PAT-ekkel, és beépített PAT-érvényesítéssel rendelkezik, frissítse az érvényesítési kódot az új és a meglévő tokenhosszok figyelembe fogadására.

Figyelmeztetés

Mindkét formátum a belátható jövőben is érvényes marad. Az új formátum bevezetésének növekedésével megszűnhetnek a régebbi 52 karakteres PAT-k.

Ajánlott eljárások a PAT-k használatához

Alternatív megoldások megfontolása

• Microsoft Entra-jogkivonat beszerzése az Azure CLI-n keresztül alkalmi kérésekhez hosszabb élettartamú PAT helyett.
• Az olyan hitelesítőadat-kezelőket, mint a Git Credential Manager vagy az Azure Artifacts Credential Manager, használja a hitelesítőadatok kezelésének egyszerűsítésére a hitelesítés oauth vagy Microsoft Entra-jogkivonatokkal történő beállításával.

PAT-k létrehozása

• Ne helyezzen személyes adatokat a PAT névre. Ne nevezze át a PAT nevet úgy, hogy az tartalmazza a tényleges PAT-jogkivonat egy részét vagy egészét.
• Kerülje a globális PAT-k létrehozását, kivéve, ha minden szervezetnél szükség van gombra.
• Folyamatonként vagy felhasználói esetenként használjon másik tokent.
• Válassza ki csak az egyes PAT-ekhez szükséges minimális hatóköröket. Adja meg az adott tevékenységhez szükséges minimális jogosultságot. Hozzon létre különálló, korlátozott hatókörű paT-okat a különböző munkafolyamatokhoz egyetlen, széles hatókörű jogkivonat használata helyett. Ha a PAT-nak csak olvasási engedélyekre van szüksége, ne adjon meg írási engedélyeket, csak ha feltétlenül szükséges.
• Tartsa rövidre a PAT élettartamát. (Heti ideális, és még rövidebb jobb.)

PAT-k kezelése

• Ne ossza meg a PAT-jait!
• A PAT-okat biztonságos kulcskezelési megoldásban, például az Azure Key Vaultban tárolhatja.
• A PAT-k rendszeres elforgatása vagy újragenerálása a felhasználói felületen vagy a PAT Életciklus Felügyeleti API-k használatával.
• Visszavonhatja a paT-okat, ha már nincs rájuk szükség.
• Forgassa el a PAT-eket, hogy az új PAT formátumot használva jobban kiszivárogjon a titkos kódok észlelése és visszavonása a belső eszközökkel.

Rendszergazdáknak

• A bérlői rendszergazdák házirendeket állíthatnak be a globális PAT-létrehozás, a teljes hatókörű PAT-létrehozás és a hosszú élettartamú PAT-időtartam korlátozására .
• A bérlői rendszergazdák visszavonhatják a szervezeti felhasználók paT-jait,, ha a PAT sérült.
• A szervezet rendszergazdái korlátozhatják a PAT létrehozását a szervezetben. Ha továbbra is szükség van paT-okra, csak az engedélyezési listán szereplő paT-okra korlátozza a létrehozásukat.

GYIK

Q. Miért nem tudom szerkeszteni vagy újragenerálni egy egyetlen szervezetre kiterjedő PAT-hatókört?

A. Jelentkezzen be arra a szervezetre, ahol a PAT hatóköre van. A hozzáférési hatókör szűrőjének módosításával megtekintheti a paT-okat, amikor ugyanabban a Microsoft Entra-azonosítóban lévő bármely szervezetbe bejelentkezett. Csak szervezeti hatókörű jogkivonatokat szerkeszthet, ha bejelentkezett az adott szervezetbe.

Q. Mi történik a PAT szolgáltatással, ha egy felhasználói fiók le van tiltva?

A. Amikor eltávolít egy felhasználót az Azure DevOpsból, a PAT egy órán belül érvénytelen lesz. Ha a szervezet csatlakozik a Microsoft Entra-azonosítóhoz, a PAT a Microsoft Entra-azonosítóban is érvénytelen, mert az a felhasználóé. Javasoljuk, hogy a PAT-t egy másik felhasználói vagy szolgáltatásfiókba forgassa, hogy a szolgáltatások továbbra is működjenek.

Q. Használhatok PAT-okat az összes Azure DevOps REST API-val?

A. Nem. A PAT-kat a legtöbb Azure DevOps REST API-val használhatja, de a szervezetek és profilok, valamint a PAT Felügyeleti Életciklus API-k csak a Microsoft Entra-jogkivonatokat támogatják.

Q. Mi történik, ha véletlenül bejelentkezem egy nyilvános adattárba a GitHubon?

A. Az Azure DevOps a GitHub nyilvános adattáraiban bejelentkezett PAT-okat keres. Ha kiszivárgott jogkivonatot találunk, azonnal részletes e-mail-értesítést küldünk a jogkivonat tulajdonosának, és naplózunk egy eseményt az Azure DevOps-szervezet naplózási naplójában. Javasoljuk az érintett felhasználókat, hogy a kiszivárogtatott jogkivonat visszavonásával és egy új jogkivonattal való lecserélésével hárítsák el a problémát.

Ha nem tiltotta le a kiszivárgott személyes hozzáférési jogkivonatok automatikus visszavonására vonatkozó szabályzatot , azonnal visszavonjuk a kiszivárgott PAT-t. További információ: A kiszivárgott PAT-k automatikus visszavonása.

Q. Használhatok személyes hozzáférési jogkivonatot API-kulcsként, hogy NuGet-csomagokat tegyek közzé egy Azure Artifacts-csatornán a dotnet/nuget.exe parancssor használatával?

A. Nem. Az Azure Artifacts nem támogatja a PAT API-kulcsként való átadását. Ha helyi fejlesztési környezetet használ, javasoljuk, hogy telepítse az Azure Artifacts hitelesítőadat-szolgáltatót az Azure Artifacts-hitelesítéshez. További információkért lásd a következő példákat: dotnet és NuGet.exe. Ha az Azure Pipelines használatával szeretné közzétenni a csomagokat, a NuGet-hitelesítési feladattal hitelesítheti magát a hírcsatornával. További információkért lásd a NuGet-csomagok Azure Pipelines -nal (YAML/Classic) való közzétételének példáját.

Q. Miért nem működött a PAT?

A. A PAT-hitelesítéshez rendszeresen be kell jelentkeznie az Azure DevOpsba a teljes hitelesítési folyamat használatával. A 30 naponta egyszeri bejelentkezés sok felhasználó számára elegendő, de előfordulhat, hogy a Microsoft Entra konfigurációjától függően gyakrabban kell bejelentkeznie. Ha a PAT nem működik, először próbáljon meg bejelentkezni a szervezetbe, és fejezze be a teljes hitelesítési kérést. Ha a PAT továbbra sem működik, ellenőrizze, hogy lejárt-e.

Az alapszintű IIS-hitelesítés engedélyezése érvényteleníti az Azure DevOps Server PAT-jait. Javasoljuk, hogy mindig kapcsolja ki az IIS Alapszintű hitelesítést .

Figyelmeztetés

Ha alapszintű IIS-hitelesítéssel használja a Gitet, a Git megszakad, mert a felhasználói hitelesítéshez PAT-k szükségesek. Hozzáadhat egy további fejlécet a Git-kérelmekhez, hogy az IIS Alapszintű hitelesítéssel használhassa, de ezt a műveletet nem javasoljuk. Az extra fejlécet minden Azure DevOps Server-telepítéshez használni kell, mert a Windows Hitelesítés funkció a PAT-k használatát is megakadályozza. A további fejlécnek tartalmaznia kell a Base 64 kódolását user:PATis.

git -c http.extraheader='Authorization: Basic [base 64 encoding of "user:password"]' ls-remote http://tfsserver:8080/tfs/DefaultCollection/_git/projectName

Q. Hogyan hozhatok létre olyan hozzáférési jogkivonatokat, amelyek nincsenek személyhez kötve?

A. Az összes PAT hozzá van rendelve az azt létrehozó felhasználói identitáshoz. Az alkalmazások nem hozhatnak létre PAT-okat.

Az Azure DevOpsban létrehozhat olyan hozzáférési jogkivonatokat, amelyek nem kapcsolódnak egy adott felhasználóhoz. Olyan Microsoft Entra-jogkivonatokat használjon, amelyeket egy alkalmazás-szolgáltatásnév vagy egy felügyelt identitás bocsátott ki. Folyamatok esetében a szolgáltatáskapcsolatokkal biztonságosan hitelesítheti és engedélyezheti az automatizált feladatokat anélkül, hogy felhasználóspecifikus hitelesítő adatokra támaszkodik.

Q. Hogyan lehet újragenerálni/elforgatni a PAT-okat az API-n keresztül? Láttam ezt a lehetőséget a felhasználói felületen, de nem látok hasonló metódust az API-ban.

A. A felhasználói felületen elérhető újragenerálási funkciók ténylegesen végrehajtanak néhány műveletet, amelyeket egy API-val replikálhat.

A PAT elforgatásához kövesse az alábbi lépéseket:

1. A PAT metaadatainak megtekintése GET-hívással .
2. Hozzon létre egy új PAT-t a régi PAT-azonosítóval POST-hívással.
3. A régi PAT visszavonása DELETE hívással.

Q. Mennyi ideig láthatók a lejárt, visszavont vagy inaktív PAT-k az Azure DevOps-jogkivonatok listájában?

A. A lejárt vagy visszavont PAT-k már nem használhatók és nem állíthatók vissza. Ezek az inaktív jogkivonatok a lejárat vagy visszavonás után néhány hónapig láthatók maradnak, mielőtt automatikusan eltávolítanák őket a kijelzőről.

Q. Miért jelenik meg a "Rendszergazdai jóváhagyásra van szükség" üzenet, amikor egy Microsoft Entra-alkalmazással próbálok meghívni a PAT Életciklus Felügyeleti API-kat?

A. A bérlő biztonsági szabályzatai rendszergazdai hozzájárulást igényelnek ahhoz, hogy az alkalmazások hozzáférhessenek a szervezet szervezeti erőforrásaihoz. Lépjen kapcsolatba a bérlői rendszergazdával.

Q. Használhatok egyszerű szolgáltatásnevet PAT-k létrehozásához vagy kezeléséhez?

A. Nem. A PAT-k egy felhasználói identitáshoz tartoznak. A Microsoft Entra szolgáltatásnevek vagy felügyelt identitások rövid élettartamú Microsoft Entra-jogkivonatokat hozhatnak létre, amelyeket a legtöbb helyen használhat, ahol a PAT-t elfogadják. Tudjon meg többet az Azure DevOps PAT-használatának csökkentésére tett erőfeszítéseinkről, és fedezze fel a PAT-ek Microsoft Entra-jogkivonatokkal való kiváltását.

Kapcsolódó tartalom

• Szabályzatok használata a felhasználók személyes hozzáférési jogkivonatainak kezelésére
• Felhasználói PAT-k visszavonása (rendszergazdáknak)
• Hitelesítés Microsoft Entra-jogkivonatokkal