Revocare i token di accesso personale per gli utenti dell'organizzazione

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se un token di accesso personale (PAT) è compromesso, è fondamentale agire rapidamente. Gli amministratori possono revocare il pat personale di un utente per proteggere l'organizzazione. La disabilitazione dell'account di un utente revoca anche il pat.

Perché revocare i PT utente?

La revoca dei PT utente è essenziale per i motivi seguenti:

• Token compromesso: impedire l'accesso non autorizzato se un token viene compromesso.
• L'utente lascia l'organizzazione: assicurarsi che i dipendenti precedenti non abbiano più accesso.
• Modifiche alle autorizzazioni: invalidare i token che riflettono le autorizzazioni precedenti.
• Violazione della sicurezza: attenuare l'accesso non autorizzato durante una violazione.
• Procedure di sicurezza regolari: revocare e riemettere regolarmente i token come parte di un criterio di sicurezza.

Prerequisiti

Autorizzazioni: essere un membro del gruppo Project Collection Administrators. I proprietari dell'organizzazione sono automaticamente membri di questo gruppo.

Suggerimento

Per creare o revocare le proprie reti PAT, vedere Creare o revocare LET.

Revocare le reti AP

1. Per revocare le autorizzazioni OAuth, incluse le reti AP, per gli utenti dell'organizzazione, vedere Revoche di token - Revocare le autorizzazioni.
2. Per automatizzare la chiamata all'API REST, usare questo script di PowerShell, che passa un elenco di nomi entità utente (UPN). Se non si conosce l'UPN dell'utente che ha creato il pat, usare questo script con un intervallo di date specificato.

Nota

Quando si usa un intervallo di date vengono revocati anche tutti i token Web JSON (JWT). Qualsiasi strumento che si basa su questi token non funziona fino a quando non viene aggiornato con nuovi token.

3. Dopo aver revocato correttamente i criteri di accesso utente interessati, informare gli utenti. Possono ricreare i token in base alle esigenze.

Potrebbe verificarsi un ritardo di un massimo di un'ora prima che il pat diventi inattivo, perché questo periodo di latenza persiste fino a quando l'operazione di disabilitazione o eliminazione non viene elaborata completamente in Microsoft Entra ID.

Scadenza del token FedAuth

Un token FedAuth viene emesso al momento dell'accesso. È valido per una finestra scorrevole di sette giorni. La scadenza estende automaticamente altri sette giorni ogni volta che lo si aggiorna all'interno della finestra temporale scorrevole. Se gli utenti accedono regolarmente al servizio, è necessario solo un accesso iniziale. Dopo un periodo di inattività che estende sette giorni, il token diventa non valido e l'utente deve eseguire di nuovo l'accesso.

Scadenza pat

Gli utenti possono scegliere una data di scadenza per il pat, non superare un anno. È consigliabile usare periodi di tempo più brevi e generare nuovi token di accesso alla scadenza. Gli utenti ricevono un messaggio di posta elettronica di notifica una settimana prima della scadenza del token. Gli utenti possono generare un nuovo token, estendere la scadenza del token esistente o modificare l'ambito del token esistente, se necessario.

Log di controllo

Se l'organizzazione è connessa a Microsoft Entra ID, è possibile accedere ai log di controllo che tengono traccia di vari eventi, incluse le modifiche alle autorizzazioni, alle risorse eliminate e all'accesso al log. Questi log di controllo sono utili per controllare le revoche o analizzare qualsiasi attività. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.

Domande frequenti

D: Cosa accade a un pat se un utente lascia la mia azienda?

R: Dopo che un utente viene rimosso da Microsoft Entra ID, i token PAT e FedAuth invalidano entro un'ora, poiché il token di aggiornamento è valido solo per un'ora.

D: È consigliabile revocare i token Web JSON (JWT)?

R: Se si dispone di JWT che si ritiene debbano essere revocati, è consigliabile farlo tempestivamente. Revocare I token JWT rilasciati come parte del flusso OAuth usando lo script di PowerShell. Assicurarsi di usare l'opzione intervallo di date nello script.

Articoli correlati

• Informazioni su come Microsoft protegge i progetti e i dati in Azure DevOps
• Creare o revocare LET