Bagikan melalui

Menggunakan token akses pribadi

Layanan Azure DevOps | Azure DevOps Server | Azure DevOps Server 2022

Token akses pribadi (PAT) berfungsi sebagai kata sandi alternatif untuk mengautentikasi ke Azure DevOps. PAT ini mengidentifikasi Anda dan menentukan aksesibilitas dan cakupan akses Anda. Perlakukan token akses pribadi dengan tingkat kewaspadaan yang sama dengan kata sandi.

Perhatian

Hindari menggunakan PAT saat metode autentikasi yang lebih aman tersedia. PAT membawa risiko keamanan yang melekat karena kredensial berumur panjang yang dapat dibocorkan, dicuri, atau disalahgunakan. Gunakan token Microsoft Entra, identitas terkelola, atau perwakilan layanan jika memungkinkan.

Saat Anda menggunakan alat Microsoft, akun Microsoft atau ID Microsoft Entra Anda dikenali dan didukung. Jika Anda menggunakan alat yang tidak mendukung akun Microsoft Entra, atau jika Anda lebih suka tidak berbagi kredensial utama, pertimbangkan untuk menggunakan PATs sebagai metode autentikasi alternatif.

Penting

Pertimbangkan untuk menggunakan token Microsoft Entra yang lebih aman daripada token akses pribadi yang berisiko lebih tinggi. Untuk informasi selengkapnya, lihat Mengurangi penggunaan PAT. Tinjau panduan autentikasi untuk memilih mekanisme autentikasi yang tepat untuk kebutuhan Anda.

Prasyarat

Kategori Persyaratan
Permissions Izin untuk mengakses dan mengubah pengaturan pengguna Anda di mana PAT dikelola.
- Buka profil Anda dan pilih Pengaturan> penggunaToken akses pribadi. Jika Anda dapat melihat dan mengelola PAT Anda di sini, Anda memiliki izin yang diperlukan.
- Buka proyek Anda dan pilih pengaturan proyek >Izin. Temukan akun pengguna Anda dalam daftar dan periksa izin yang ditetapkan untuk Anda. Cari izin yang terkait dengan pengelolaan token atau pengaturan pengguna.
- Jika organisasi Anda memiliki kebijakan, administrator mungkin perlu memberi Anda izin tertentu atau menambahkan Anda ke daftar yang diizinkan untuk membuat dan mengelola PATs.
- PATs terhubung ke akun pengguna yang menambang token. Bergantung pada tugas yang dilakukan PAT, Anda mungkin memerlukan lebih banyak izin sendiri.
Tingkat akses Setidaknya akses Dasar.
Tugas Gunakan Token Akses Pribadi hanya jika perlu dan selalu ganti secara berkala. Lihat bagian Praktik terbaik untuk menggunakan PAT.

Membuat PAT

Nota

Langkah-langkah dan cuplikan layar berikut mencerminkan Layanan Azure DevOps. Pengalaman Azure DevOps Server mungkin sedikit berbeda.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{Your_Organization}).
  1. Masuk ke portal web Azure DevOps Server Anda (https://{server}/{collection} atau http://{server}:{port}/tfs/{collection}).

  1. Dari halaman beranda Anda, buka pengaturan pengguna dan pilih Token akses pribadi.

    Cuplikan layar memperlihatkan opsi Token akses pribadi di pengaturan pengguna.

  2. Pilih + Token Baru.

    Cuplikan layar memperlihatkan tombol Token Baru di halaman Token akses pribadi.

  3. Beri nama token Anda, pilih organisasi tempat Anda ingin menggunakan token, lalu atur token Anda kedaluwarsa secara otomatis setelah jumlah hari yang ditetapkan.

    Cuplikan layar memperlihatkan dialog Buat token akses pribadi baru dengan bidang nama, organisasi, dan kedaluwarsa.

  4. Pilih cakupan token ini untuk mengotorisasi tugas spesifik Anda.

    Misalnya, untuk membuat token untuk agen build dan rilis untuk mengautentikasi ke Azure DevOps, atur cakupan token ke Kumpulan Agen (Baca & kelola). Untuk membaca peristiwa log audit dan mengelola atau menghapus aliran, pilih Baca Log Audit, lalu pilih Buat.

    Cuplikan layar memperlihatkan opsi pemilihan cakupan untuk PAT.

    Administrator Anda mungkin membatasi Anda untuk membuat PAT dengan cakupan penuh atau membatasi Anda hanya untuk PAT dengan cakupan pengemasan. Hubungi admin Anda untuk masuk ke daftar yang diizinkan jika Anda memerlukan akses ke lebih banyak ruang lingkup. Beberapa cakupan, misalnya, vso.governance, mungkin tidak tersedia di antarmuka pengguna (UI) jika tidak untuk penggunaan publik yang tersebar luas.

  5. Setelah selesai, salin token dan simpan di lokasi yang aman. Untuk keamanan Anda, hal ini tidak ditampilkan lagi.

    Cuplikan layar memperlihatkan tombol Salin token ke clipboard dengan nilai PAT yang dihasilkan.

Anda dapat menggunakan PAT anda di mana saja bahwa kredensial pengguna Anda diperlukan untuk autentikasi di Azure DevOps. Ingat:

  • Perlakukan PAT dengan kewaspadaan yang sama dengan kata sandi Anda, dan jaga kerahasiaannya. Jangan bagikan PATs (Token Akses Pribadi).
  • Untuk organisasi yang didukung oleh Microsoft Entra ID, masuk dengan PAT baru Anda dalam 90 hari atau akan menjadi tidak aktif. Untuk informasi selengkapnya, lihat Frekuensi masuk pengguna untuk akses bersyarat.

Notifikasi

Selama masa pakai PAT, pengguna menerima dua pemberitahuan: satu saat PAT dibuat dan satu lagi sebelum kedaluwarsa.

Setelah membuat PAT, Anda mungkin menerima pemberitahuan yang mirip dengan contoh berikut. Pemberitahuan ini berfungsi sebagai konfirmasi bahwa PAT Anda berhasil ditambahkan ke organisasi Anda.

Cuplikan layar memperlihatkan email pemberitahuan yang dibuat PAT.

Email pemberitahuan kedaluwarsa dikirim sebelum token kedaluwarsa. Jika administrator Anda menghapus kemampuan Anda untuk membuat PAT di organisasi, email tersebut menyatakan bahwa Anda tidak lagi dapat memperbarui PATs. Hubungi administrator koleksi proyek Anda untuk disertakan dalam daftar izin untuk izin pembuatan PAT berkelanjutan di organisasi tersebut.

Untuk informasi selengkapnya, lihat Mengonfigurasi server SMTP dan menyesuaikan email untuk pemberitahuan dan permintaan umpan balik.

Pemberitahuan tak terduga

Jika Anda menerima pemberitahuan PAT yang tidak terduga, itu mungkin berarti bahwa administrator atau alat membuat PAT untuk Anda. Berikut adalah beberapa contoh:

  • Token bernama git: https://dev.azure.com/{yourorganization} on YourMachine dibuat saat Anda terhubung ke repositori Azure DevOps Git melalui git.exe.
  • Token bernama Service Hooks: Azure App Service: Deploy web app dibuat saat Anda atau administrator menyiapkan penyebaran aplikasi web Azure App Service.
  • Token bernama WebAppLoadTestCDIntToken dibuat saat pengujian beban web disiapkan sebagai bagian dari alur oleh Anda atau administrator.
  • Token bernama Microsoft Teams Integration dibuat saat Ekstensi Olahpesan Integrasi Microsoft Teams disiapkan.

Jika Menurut Anda situasinya serius:

  • Cabut PAT (dan ubah kata sandi Anda) jika Anda menduga ada kesalahan.
  • Tanyakan kepada administrator Anda apakah Anda adalah pengguna Microsoft Entra untuk melihat apakah sumber atau lokasi yang tidak diketahui mengakses organisasi Anda.
  • Tinjau FAQ tentang check-in PAT yang tidak disengaja ke repositori GitHub publik.

Menggunakan PAT

PAT Anda berfungsi sebagai identitas digital Anda, seperti kata sandi. Anda dapat menggunakan PAT sebagai cara cepat untuk melakukan permintaan satu kali atau membuat prototipe aplikasi secara lokal. Gunakan PAT dalam kode Anda untuk mengautentikasi permintaan REST API dan mengotomatiskan alur kerja dengan menyertakan PAT di header otorisasi permintaan Anda.

Setelah kode aplikasi Anda berfungsi, beralihlah ke Microsoft Entra OAuth untuk memperoleh token bagi pengguna aplikasi Anda atau perwakilan layanan atau identitas terkelola untuk memperoleh token sebagai aplikasi. Jangan membiarkan aplikasi atau skrip tetap berjalan dengan PATs untuk jangka waktu lama. Anda dapat menggunakan token Microsoft Entra di mana saja pat digunakan.

Pertimbangkan untuk memperoleh token Microsoft Entra melalui Azure CLI untuk permintaan yang tidak direncanakan.

Untuk menyediakan PAT melalui header HTTP, Anda harus terlebih dahulu mengonversinya menjadi Base64 string. Kemudian dapat disediakan sebagai header HTTP dalam format berikut:


Authorization: Basic BASE64_USERNAME_PAT_STRING

Mengubah PAT

Lakukan langkah-langkah berikut untuk:

  • Regenerasikan PAT untuk membuat token baru, yang membuat token sebelumnya menjadi tidak valid.
  • Memperpanjang PAT untuk meningkatkan periode validitasnya.
  • Ubah cakupan PAT untuk mengubah izinnya.

  1. Dari halaman beranda Anda, buka pengaturan pengguna dan pilih Token akses pribadi.

  2. Pilih token yang ingin Anda ubah, lalu pilih Edit.

    Cuplikan layar memperlihatkan tombol Edit disorot untuk entri PAT.

  3. Edit nama token, kedaluwarsa token, atau cakupan akses yang terkait dengan token, lalu pilih Simpan.

    Cuplikan layar memperlihatkan dialog Edit untuk PAT dengan bidang nama, kedaluwarsa, dan cakupan.

Mencabut PAT

Anda dapat mencabut PAT kapan saja karena alasan ini dan lainnya:

  • Pelanggaran keamanan: Cabut PAT segera jika Anda menduga PAT tersebut disusupi, bocor, atau terekspos dalam log atau repositori publik.
  • Tidak lagi diperlukan: Cabut PAT saat proyek, layanan, atau integrasi yang dibuat selesai.
  • Kepatuhan kebijakan: Cabut PAT untuk menerapkan kebijakan keamanan, persyaratan kepatuhan, atau jadwal rotasi token organisasi.
  • Perubahan pengguna: Cabut PAT saat anggota tim meninggalkan organisasi atau mengubah peran dan tidak lagi memerlukan akses.
  • Pengurangan cakupan: Cabut dan buat ulang PAT dengan pengurangan izin saat Anda perlu membatasi kemampuan aksesnya.
  • Pemeliharaan rutin: Cabut PAT sebagai bagian dari kebersihan keamanan rutin dan manajemen siklus hidup token.

Untuk mencabut PAT, ikuti langkah-langkah berikut:

  1. Di beranda Anda, buka pengaturan pengguna dan pilih Token akses pribadi.

  2. Di bawah Keamanan, pilih Token akses pribadi. Pilih token yang ingin Anda cabut aksesnya, lalu pilih Cabut.

    Cuplikan layar memperlihatkan opsi Cabut untuk token yang dipilih pada halaman Token akses pribadi.

  3. Dalam dialog Konfirmasi , pilih Cabut.

    Cuplikan layar memperlihatkan dialog Konfirmasi untuk mencabut PAT.

API Manajemen Siklus Hidup PAT

API Manajemen Siklus Hidup PAT mungkin berguna saat mempertahankan token dalam volume besar melalui UI tidak dapat dipertahankan. Mengelola rotasi PAT secara terprogram juga membuka kesempatan untuk memutar PAT secara teratur dan mempersingkat masa pakai defaultnya. Anda dapat mengonfigurasi sampel aplikasi Python dengan penyewa Microsoft Entra dan organisasi Azure DevOps Anda.

Beberapa hal yang perlu diperhatikan tentang API ini:

  • Token akses Microsoft Entra diperlukan untuk mengakses API ini. Gunakan bentuk autentikasi yang lebih kuat saat Anda mem-mint token baru.
  • Hanya pengguna atau aplikasi yang menggunakan alur "atas nama pengguna" yang dapat menghasilkan PATs. Aplikasi yang menggunakan alur "atas nama aplikasi" atau alur autentikasi yang tidak mengeluarkan token akses Microsoft Entra tidak valid untuk digunakan dengan API ini. Dengan demikian, perwakilan layanan atau identitas terkelola tidak dapat membuat atau mengelola PATs.
  • Sebelumnya, PAT Lifecycle Management API hanya mendukung cakupan user_impersonation, namun sekarang cakupan vso.pats tersedia dan sebagai cakupan yang disarankan untuk digunakan dengan API ini. Downscope semua aplikasi yang sebelumnya bergantung pada user_impersonation untuk memanggil API ini.

Format PAT

String PAT menggunakan format tertentu yang dirancang untuk meningkatkan deteksi rahasia dalam alat deteksi PAT bocor dan penawaran mitra. Format ini mencakup bit yang dapat diidentifikasi yang meningkatkan tingkat deteksi positif palsu dan memungkinkan mitigasi kebocoran yang terdeteksi lebih cepat.

  • Panjang token adalah 84 karakter, dengan 52 karakter menjadi data acak, yang meningkatkan entropi keseluruhan. Token tahan terhadap serangan kasar.
  • Token yang dikeluarkan oleh Azure DevOps menyertakan tanda tangan tetap AZDO pada posisi 76-80.

Jika Anda berintegrasi dengan PAT dan memiliki validasi PAT bawaan, pastikan kode validasi Anda mengakomodasi panjang token 84 karakter.

Praktik terbaik untuk menggunakan PATs

Pertimbangkan alternatif

  • Dapatkan token Microsoft Entra melalui Azure CLI untuk permintaan yang tidak direncanakan alih-alih menghasilkan PAT yang berumur lebih lama.
  • Gunakan manajer kredensial seperti Git Credential Manager atau Azure Artifacts Credential Manager untuk menyederhanakan manajemen kredensial, dengan autentikasi diatur ke oauth atau token Microsoft Entra.

Membuat PATs

  • Jangan masukkan data pribadi ke dalam nama PAT. Jangan ganti nama PAT untuk menyertakan beberapa atau semua token PAT yang sebenarnya.
  • Hindari membuat PATs global kecuali diperlukan di semua organisasi.
  • Gunakan token yang berbeda per alur atau kasus penggunaan.
  • Pilih hanya cakupan minimum yang diperlukan untuk setiap PAT. Berikan hak istimewa paling sedikit yang diperlukan untuk tugas spesifik Anda. Buat PAT terpisah dengan cakupan terbatas untuk alur kerja yang berbeda alih-alih menggunakan token tunggal dengan cakupan luas. Jika PAT Anda memerlukan izin baca-saja, jangan berikan izin tulis hingga diperlukan.
  • Jaga agar masa pakai PAT tetap pendek.

Mengelola PATs (Token Akses Pribadi)

  • Jangan bagikan Token Akses Pribadi Anda!
  • Simpan PAT Anda dalam solusi manajemen kunci yang aman, seperti Azure Key Vault.
  • Putar atau regenerasi PAT Anda secara teratur melalui UI atau dengan menggunakan API Manajemen Siklus Hidup PAT.
  • Cabut PATS saat tidak lagi diperlukan.

Untuk admin

Tanya Jawab Umum

Q. Mengapa saya tidak dapat mengedit atau menghasilkan kembali PAT yang ruangkupnya hanya satu organisasi?

A. Masuk ke organisasi di mana cakupan PAT Anda berlaku. Anda dapat melihat PAT saat masuk ke organisasi mana pun dalam ID Microsoft Entra yang sama dengan mengubah filter Cakupan akses . Anda hanya dapat mengedit token yang dicakup organisasi saat masuk ke organisasi tertentu.

Q. Apa yang terjadi pada PAT jika akun pengguna dinonaktifkan?

A. Saat pengguna dihapus dari Azure DevOps, PAT tidak valid dalam waktu satu jam. Jika organisasi Anda tersambung ke MICROSOFT Entra ID, PAT juga tidak valid di ID Microsoft Entra karena milik pengguna. Putar PAT ke pengguna atau akun layanan lain untuk menjaga layanan tetap berjalan.

Q. Dapatkah saya menggunakan PAT dengan semua REST API Azure DevOps?

A. Tidak. Anda dapat menggunakan PAT dengan sebagian besar REST API Azure DevOps, tetapi organisasi dan profil serta API Siklus Hidup Manajemen PAT hanya mendukung token Microsoft Entra.

Q. Apa yang terjadi jika saya secara tidak sengaja memeriksa PAT saya ke repositori publik di GitHub?

A. Azure DevOps memindai PAT yang bocor di repositori GitHub publik. Saat terdeteksi, Azure DevOps memberi tahu pemilik token dan mencatat peristiwa di log audit Anda. Kecuali dinonaktifkan, PAT yang bocor secara otomatis dicabut. Untuk informasi lebih lanjut, lihat Cabut PAT yang bocor secara otomatis.

Q. Dapatkah saya menggunakan token akses pribadi sebagai kunci API untuk menerbitkan paket NuGet ke umpan Azure Artifacts dengan menggunakan baris perintah dotnet/nuget.exe?

A. Tidak. Azure Artifacts tidak mendukung meneruskan PAT sebagai kunci API. Saat Anda menggunakan lingkungan pengembangan lokal, instal Penyedia Kredensial Azure Artifacts untuk mengautentikasi dengan Azure Artifacts. Untuk informasi selengkapnya, lihat contoh berikut: dotnet dan NuGet.exe. Jika Anda ingin menerbitkan paket dengan menggunakan Azure Pipelines, gunakan tugas NuGet Authenticate untuk mengautentikasi dengan umpan Anda. Untuk informasi selengkapnya, lihat contoh dalam Menerbitkan paket NuGet dengan Azure Pipelines (YAML/Klasik).

Q. Mengapa PAT saya berhenti bekerja?

A. Autentikasi PAT mengharuskan Anda untuk masuk secara teratur ke Azure DevOps dengan menggunakan alur autentikasi lengkap. Masuk setiap 30 hari sekali cukup untuk banyak pengguna, tetapi Anda mungkin perlu masuk lebih sering tergantung pada konfigurasi Microsoft Entra Anda. Jika PAT Anda berhenti berfungsi, pertama-tama coba masuk ke organisasi Anda dan selesaikan perintah autentikasi lengkap. Jika PAT Anda masih tidak berfungsi, periksa apakah kedaluwarsa.

Untuk Azure DevOps Server, mengaktifkan Autentikasi Dasar IIS membatalkan penggunaan PAT. Nonaktifkan Autentikasi Dasar IIS.

Q. Bagaimana cara membuat token akses yang tidak terkait dengan pengguna tertentu?

A. PATs selalu dikaitkan dengan identitas pengguna yang membuatnya. Untuk menggunakan token yang tidak terkait dengan pengguna tertentu, gunakan token Microsoft Entra yang dikeluarkan oleh perwakilan layanan aplikasi atau identitas terkelola. Untuk alur, gunakan koneksi layanan untuk mengautentikasi tanpa kredensial khusus pengguna. Pelajari selengkapnya tentang mengurangi penggunaan PAT di seluruh Azure DevOps.

Q. Bagaimana cara meregenerasi/memutar PAT melalui API? Saya melihat opsi itu di UI, tetapi saya tidak melihat metode serupa di API.

A. Fungsionalitas Regenerasi yang tersedia di UI benar-benar menyelesaikan beberapa tindakan, yang dapat Anda replikasi melalui API.

Untuk memutar PAT Anda, ikuti langkah-langkah berikut:

  1. Lihat Metadata PAT dengan panggilan GET .
  2. Buat PAT baru dengan ID PAT lama dengan menggunakan panggilan POST .
  3. Cabut PAT lama dengan menggunakan panggilan DELETE .

Q. Berapa lama PAT yang kedaluwarsa, dicabut, atau tidak aktif tetap terlihat dalam daftar token Azure DevOps?

A. Anda tidak dapat lagi menggunakan atau meregenerasi PAT yang kedaluwarsa atau dicabut. Token tidak aktif ini tetap terlihat selama beberapa bulan setelah kedaluwarsa atau pencabutan sebelum dihapus secara otomatis dari tampilan.

Q. Mengapa saya melihat pesan "Perlu persetujuan admin" saat saya mencoba menggunakan aplikasi Microsoft Entra untuk memanggil API Manajemen Siklus Hidup PAT?

A. Kebijakan keamanan penyewa Anda memerlukan persetujuan admin sebelum aplikasi dapat mengakses sumber daya organisasi. Hubungi administrator penyewa Anda.

Konten terkait

  • Last updated on