Revocare i token di accesso personale per gli utenti dell'organizzazione
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Se un token di accesso personale (PAT) è compromesso, è fondamentale agire rapidamente. Gli amministratori possono revocare il pat di un utente come misura di sicurezza per proteggere l'organizzazione. Inoltre, la disabilitazione dell'account di un utente revoca anche il proprio pat. C'è un ritardo, fino a un'ora, prima che il pat diventi inattivo. Questo periodo di latenza persiste fino a quando l'operazione di disabilitazione o eliminazione non viene completamente elaborata in Microsoft Entra ID.
Prerequisiti
Livello di accesso: proprietario o membro dell'organizzazione del gruppo Project Collection Administrators
Suggerimento
Per gli utenti, se si vogliono creare o revocare i propri token di accesso personale, vedere Creare o revocare token di accesso personali.
Revocare le reti AP
- Per revocare le autorizzazioni OAuth, incluse le procedure di autorizzazione, per gli utenti dell'organizzazione, vedere Revoche di token - Revocare le autorizzazioni.
- Usare questo script di PowerShell per automatizzare la chiamata alla nuova API REST passando un elenco di nomi di entità utente (UPN). Se non si conosce l'UPN dell'utente che ha creato il pat, usare questo script, ma deve essere basato su un intervallo di date.
Nota
Quando si usa un intervallo di date vengono revocati anche tutti i token Web JSON (JWT). Tutti gli strumenti basati su questi token non funzioneranno fino a quando non vengono aggiornati con nuovi token.
- Dopo aver revocato correttamente i criteri di accesso utente interessati, informare gli utenti. Possono ricreare i token in base alle esigenze.
Scadenza del token FedAuth
Un token FedAuth viene emesso al momento dell'accesso. È valido per una finestra scorrevole di sette giorni. La scadenza estende automaticamente altri sette giorni ogni volta che lo si aggiorna all'interno della finestra temporale scorrevole. Se gli utenti accedono regolarmente al servizio, è necessario solo un accesso iniziale. Dopo un periodo di inattività che estende sette giorni, il token diventa non valido e l'utente deve eseguire di nuovo l'accesso.
Scadenza del token di accesso personale
Gli utenti possono scegliere una data di scadenza per il token di accesso personale, non superare un anno. È consigliabile usare periodi di tempo più brevi, generando nuovi TOKEN alla scadenza. Gli utenti ricevono un messaggio di posta elettronica di notifica una settimana prima della scadenza del token. Gli utenti possono generare un nuovo token, estendere la scadenza del token esistente o modificare l'ambito del token esistente, se necessario.
Log di controllo
Se l'organizzazione è connessa a Microsoft Entra ID, si ha accesso ai log di controllo che tengono traccia di vari eventi, tra cui modifiche alle autorizzazioni, risorse eliminate e accesso al log, tra le altre cose. Se è necessario verificare la presenza di revoche o analizzare eventuali attività, i log di controllo sono una risorsa preziosa. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.
Domande frequenti
D: Cosa accade a un pat se un utente lascia la mia azienda?
R: Dopo che un utente viene rimosso da Microsoft Entra ID, i token PAT e FedAuth invalidano entro un'ora, poiché il token di aggiornamento è valido solo per un'ora.
D: È consigliabile revocare i token Web JSON (JWT)?
R: Se si dispone di JWT che si ritiene debbano essere revocati, è consigliabile farlo. Revocare I token JWT, rilasciati come parte del flusso OAuth, tramite lo script di PowerShell. Tuttavia, è necessario usare l'opzione intervallo di date nello script.
Articoli correlati
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per