Mencabut token akses pribadi untuk pengguna organisasi

Layanan Azure DevOps | Azure DevOps Server 2022 - Azure DevOps Server 2019

Jika Token Akses Pribadi (PAT) disusupi, sangat penting untuk bertindak dengan cepat. Administrator dapat mencabut PAT pengguna untuk melindungi organisasi. Menonaktifkan akun pengguna juga mencabut PAT mereka.

Mengapa mencabut TRO pengguna?

Mencabut PATs pengguna sangat penting karena alasan berikut:

• Token yang disusupi: Cegah akses tidak sah jika token disusupi.
• Pengguna meninggalkan organisasi: Pastikan mantan karyawan tidak lagi memiliki akses.
• Perubahan izin: Membatalkan token yang mencerminkan izin lama.
• Pelanggaran keamanan: Mengurangi akses yang tidak sah selama pelanggaran.
• Praktik keamanan reguler: Mencabut dan mengirimkan kembali token secara teratur sebagai bagian dari kebijakan keamanan.

Prasyarat

Izin: Jadilah anggota grup Administrator Koleksi Proyek. Pemilik organisasi adalah anggota grup ini secara otomatis.

Tip

Untuk membuat atau mencabut PAT Anda sendiri, lihat Membuat atau mencabut PATs.

Mencabut PATs

1. Untuk mencabut otorisasi OAuth, termasuk PATs, untuk pengguna organisasi Anda, lihat Pencabutan token - Mencabut otorisasi.
2. Untuk mengotomatiskan panggilan REST API, gunakan skrip PowerShell ini, yang meneruskan daftar nama prinsipal pengguna (UPN). Jika Anda tidak mengetahui UPN pengguna yang membuat PAT, gunakan skrip ini dengan rentang tanggal yang ditentukan.

Catatan

Saat Anda menggunakan rentang tanggal setiap token web JSON (JWT) juga dicabut. Alat apa pun yang bergantung pada token ini tidak berfungsi sampai disegarkan dengan token baru.

3. Setelah Anda berhasil mencabut PAT yang terpengaruh, beri tahu pengguna Anda. Mereka dapat membuat ulang token mereka seperlunya.

Mungkin ada penundaan hingga satu jam sebelum PAT menjadi tidak aktif, karena periode latensi ini berlanjut hingga operasi nonaktifkan atau penghapusan sepenuhnya diproses di ID Microsoft Entra.

Kedaluwarsa token FedAuth

Token FedAuth akan dikeluarkan saat Anda masuk. Ini berlaku untuk jendela geser tujuh hari. Kedaluwarsa secara otomatis memperpanjang tujuh hari lagi setiap kali Anda me-refreshnya dalam jendela geser. Jika pengguna mengakses layanan secara teratur, hanya rincian masuk awal yang diperlukan. Setelah periode tidak aktif yang diperpanjang tujuh hari, token menjadi tidak valid dan pengguna harus masuk lagi.

Kedaluwarsa PAT

Pengguna dapat memilih tanggal kedaluwarsa untuk PAT mereka, tidak melebihi satu tahun. Sebaiknya gunakan periode waktu yang lebih singkat dan menghasilkan PAT baru setelah kedaluwarsa. Pengguna menerima email pemberitahuan satu minggu sebelum token kedaluwarsa. Pengguna dapat menghasilkan token baru, memperpanjang kedaluwarsa token yang ada, atau mengubah cakupan token yang ada jika diperlukan.

Mengaudit log

Jika organisasi Anda tersambung ke ID Microsoft Entra, Anda memiliki akses ke log audit yang melacak berbagai peristiwa, termasuk perubahan izin, sumber daya yang dihapus, dan akses log. Log audit ini sangat berharga untuk memeriksa pencabutan atau menyelidiki aktivitas apa pun. Untuk informasi selengkapnya, lihat Mengakses, mengekspor, dan memfilter log audit.

Pertanyaan Umum

T: Apa yang terjadi pada PAT jika pengguna meninggalkan perusahaan saya?

J: Setelah pengguna dihapus dari ID Microsoft Entra, token PAT dan FedAuth tidak valid dalam waktu satu jam, karena token refresh hanya berlaku selama satu jam.

T: Haruskah saya mencabut token web JSON (JWTs)?

J: Jika Anda memiliki JWT yang Anda yakini harus dicabut, sebaiknya lakukan dengan segera. Cabut JWTs yang dikeluarkan sebagai bagian dari alur OAuth menggunakan skrip PowerShell. Pastikan untuk menggunakan opsi rentang tanggal dalam skrip.

Artikel terkait

• Pelajari cara Microsoft melindungi proyek dan data Anda di Azure DevOps
• Membuat atau mencabut PAT