Usare i token di accesso personale

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

È possibile usare un token di accesso personale come password alternativa per l'autenticazione in Azure DevOps. In questo articolo viene illustrato come creare, usare, modificare e revocare LET per Azure DevOps.

Il video seguente illustra come creare e usare un token di accesso personale.

Informazioni sui token di accesso personale

Un token di accesso personale contiene le credenziali di sicurezza per Azure DevOps. Un token di accesso personale identifica l'utente, le organizzazioni accessibili e gli ambiti di accesso. Di conseguenza, sono fondamentali come le password, quindi è consigliabile gestirli allo stesso modo.

Se si usano gli strumenti Microsoft, l'uso dell'account Microsoft (MSA) o di Microsoft Entra ID rappresenta un approccio accettabile e ben supportato. Tuttavia, se si usano strumenti di terze parti che non supportano account Microsoft o Microsoft Entra, oppure non si desidera inserire le credenziali primarie nello strumento, usare i token di accesso personale per limitare il rischio.

È possibile creare e gestire i token di accesso personale tramite uno dei modi seguenti:

Per configurare le connessioni ATS per gli strumenti non Microsoft, usare i gestori delle credenziali Git o crearli manualmente. È consigliabile esaminare le linee guida per l'autenticazione per scegliere il meccanismo di autenticazione corretto. Per i progetti più piccoli che richiedono una soluzione meno solida, i token di accesso personale sono un'alternativa semplice. A meno che gli utenti usino Gestione credenziali, devono immettere le credenziali ogni volta.

Creare un token di accesso personale

  1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

  2. Dalla home page, aprire le impostazioni utente e selezionare Token di accesso personale.

    Screenshot showing selection, Personal Access Tokens.

  3. Selezionare + Nuovo token.

    Screenshot showing selection, New Token.

  4. Assegnare un nome al token, selezionare l'organizzazione in cui si vuole usare il token e quindi impostare il token per scadere automaticamente dopo un numero di giorni impostato.

    Screenshot showing entry of basic token information.

  5. Selezionare gli ambiti per questo token da autorizzare per le attività specifiche.

    Ad esempio, per creare un token per consentire a un agente di compilazione e versione di eseguire l'autenticazione in Azure DevOps Services, limitare l'ambito del token ai pool di agenti (lettura e gestione). Per leggere gli eventi del log di controllo e gestire ed eliminare flussi, selezionare Leggi log di controllo e quindi selezionare Crea.

    Screenshot showing selected scopes for a PAT.

    Nota

    È possibile che la creazione di token di accesso personale con ambito completo sia limitata. In questo caso, l'amministratore di Azure DevOps in Microsoft Entra ID ha abilitato un criterio che limita l'utente a un set di ambiti definito specifico. Per altre informazioni, vedere Gestire le api con criteri/Limitare la creazione di PT con ambito completo. Per un pat personalizzato definito, l'ambito necessario per l'accesso all'API di governance dei componenti, vso.governance, non è selezionabile nell'interfaccia utente.

  6. Al termine, copiare il token e archiviarlo in una posizione sicura. Per la sicurezza, non viene visualizzata di nuovo.

    Screenshot showing how to copy the token to your clipboard.

Avviso

Un token di accesso personale deve essere trattato e usato al pari di una password e deve essere tenuto segreto.

  1. Accedere al portale Web (https://{server}:8080/tfs/).

  2. Dalla home page aprire il profilo. Passare ai dettagli di sicurezza.

Screenshot showing home page, opening your profile, and the Security button.

  1. Creare un token di accesso personale.

Screenshot showing adding a personal access token.

  1. Assegnare un nome al token. Selezionare una durata per il token.

    Se si dispone di più organizzazioni, è anche possibile selezionare l'organizzazione in cui si vuole usare il token.

    Screenshot showing information entry, including token name and lifespan.

  2. Selezionare gli ambiti per questo token da autorizzare per le attività specifiche.

    Ad esempio, per creare un token per abilitare un agente di compilazione e versione per l'autenticazione, limitare l'ambito del token ai pool di agenti (lettura, gestione).

  3. Al termine, assicurarsi di copiare il token. Per la sicurezza, non viene visualizzata di nuovo. Usare questo token come password. Selezionare Chiudi.

    Screenshot showing created token.

Usare il token di accesso personale ovunque siano necessarie le credenziali utente per l'autenticazione in Azure DevOps.

Importante

Per le organizzazioni supportate da Microsoft Entra ID, sono disponibili 90 giorni per accedere con il nuovo pat, altrimenti è considerato inattivo. Per altre informazioni, vedere Frequenza di accesso utente per l'accesso condizionale.

Notifications

Gli utenti ricevono due notifiche durante la durata di un pat, una al momento della creazione e gli altri sette giorni prima della scadenza.

Dopo aver creato un pat, si riceve una notifica simile all'esempio seguente. Questa notifica conferma che il pat personale è stato aggiunto all'organizzazione.

Screenshot showing PAT created notification.

L'immagine seguente mostra un esempio della notifica di sette giorni prima della scadenza del pat.

Screenshot showing PAT near expiration notification.

Notifica imprevista

Se si riceve una notifica pat imprevista, un amministratore o uno strumento potrebbe aver creato un pat per conto dell'utente. Vedere gli esempi seguenti.

  • Quando ci si connette a un repository Git di Azure DevOps tramite git.exe. crea un token con un nome visualizzato come "git: https://MyOrganization.visualstudio.com/ in MyMachine".
  • Quando l'utente o un amministratore configura una distribuzione di app Web del servizio app Azure, crea un token con un nome visualizzato come "Service Hooks: : app Azure Service: : Deploy Web app".
  • Quando un amministratore configura test di carico Web come parte di una pipeline, crea un token con un nome visualizzato, ad esempio "WebAppLoadTestCDIntToken".
  • Quando è configurata un'estensione per la messaggistica di integrazione di Microsoft Teams, crea un token con un nome visualizzato come "Integrazione di Microsoft Teams".

Avviso

Se si ritiene che un pat esista in errore, è consigliabile revocare il pat. Modificare quindi la password. In qualità di utente di Microsoft Entra, rivolgersi all'amministratore per verificare se l'organizzazione è stata usata da un'origine o da una posizione sconosciuta. Vedere anche le domande frequenti sul controllo accidentale di un token di accesso personale a un repository GitHub pubblico.

Usare un token di accesso personale

Il pat è l'identità dell'utente e rappresenta l'utente quando lo si usa, proprio come una password.

Git

Le interazioni Git richiedono un nome utente, che può essere qualsiasi cosa tranne la stringa vuota. Per usare un pat con l'autenticazione di base HTTP, usare Base64-encode per e $MyPat, incluso nel blocco di codice seguente.

In PowerShell immettere il codice seguente.

$MyPat = 'yourPAT'

$B64Pat = [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes("`:$MyPat"))

git -c http.extraHeader="Authorization: Basic $B64Pat" clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName


Per proteggere il token, usare i gestori delle credenziali in modo da non dover immettere le credenziali ogni volta. È consigliabile Usare Git Credential Manager. Git per Windows è obbligatorio.

Repository esistenti

Per i repository esistenti, se l'origine è già stata aggiunta usando il nome utente, eseguire prima il comando seguente.

git remote remove origin

In caso contrario, eseguire il comando seguente.

git remote add origin https://<PAT>@<company_machineName>.visualstudio.com:/<path-to-git-repo> path to git repo = <project name>/_git/<repo_name> git push -u origin --all

Usare un pat nel codice

È possibile usare un token di accesso personale nel codice.

Se si vuole fornire il pat tramite un'intestazione HTTP, convertirlo prima in una stringa Base64. L'esempio seguente illustra come eseguire la conversione in Base64 usando C#.


Authorization: Basic BASE64_USERNAME_PAT_STRING

La stringa risultante può quindi essere fornita come intestazione HTTP nel formato seguente.

L'esempio seguente usa la classe HttpClient in C#.

public static async void GetBuilds()
{
    try
    {
        var personalaccesstoken = "PATFROMWEB";

        using (HttpClient client = new HttpClient())
        {
            client.DefaultRequestHeaders.Accept.Add(
                new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

            client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
                Convert.ToBase64String(
                    System.Text.ASCIIEncoding.ASCII.GetBytes(
                        string.Format("{0}:{1}", "", personalaccesstoken))));

            using (HttpResponseMessage response = client.GetAsync(
                        "https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
            {
                response.EnsureSuccessStatusCode();
                string responseBody = await response.Content.ReadAsStringAsync();
                Console.WriteLine(responseBody);
            }
        }
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex.ToString());
    }
}

Suggerimento

Quando si usano variabili, aggiungere un oggetto $ all'inizio della stringa, come nell'esempio seguente.

public static async void GetBuilds()
{
   try
  {
      var personalaccesstoken = "PATFROMWEB";

      using (HttpClient client = new HttpClient())
       {
           client.DefaultRequestHeaders.Accept.Add(
              new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

           client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
               Convert.ToBase64String(
                   System.Text.ASCIIEncoding.ASCII.GetBytes(
                       string.Format("{0}:{1}", "", personalaccesstoken))));

          using (HttpResponseMessage response = client.GetAsync(
                       $"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
           {
               response.EnsureSuccessStatusCode();
               string responseBody = await response.Content.ReadAsStringAsync();
               Console.WriteLine(responseBody);
           }
       }
   }
   catch (Exception ex)
   {
       Console.WriteLine(ex.ToString());
   }
}

Quando il codice funziona, è consigliabile passare dall'autenticazione di base a OAuth.

Per altre informazioni ed esempi su come usare i tipi di accesso utente, vedere gli articoli seguenti:

Se si abilita l'autenticazione di base di IIS, le route PAT non sono valide. Per altre informazioni, vedere Uso dell'autenticazione di base di IIS in locale.

Modificare un token di accesso personale

È possibile rigenerare o estendere un pat e modificarne l'ambito. Dopo la rigenerazione, il pat precedente non è più autorizzato.

  1. Nella home page aprire le impostazioni utente e quindi selezionare Profilo.

    Screenshot showing sequence of buttons to select to modify a PAT.

  2. In Sicurezza selezionare Token di accesso personali. Selezionare il token da modificare e quindi Modifica.

    Screenshot showing highlighted Edit button to modify PAT.

  3. Modificare il nome del token, la scadenza del token o l'ambito di accesso associato al token e quindi selezionare Salva.

    Screenshot showing modified PAT.

Revocare un token di accesso personale

È possibile revocare un pat in qualsiasi momento, per vari motivi.

  1. Nella home page aprire le impostazioni utente e quindi selezionare Profilo.

    Screenshot showing sequence of buttons to select, Team Services, Preview page, and revoke a PAT.

  2. In Sicurezza selezionare Token di accesso personali. Selezionare il token per il quale si vuole revocare l'accesso e quindi selezionare Revoca.

    Screenshot showing selection to revoke a single token or all tokens.

  3. Selezionare Revoca nella finestra di dialogo di conferma.

    Screenshot showing confirmation screen to revoke PAT.

Domande frequenti

D: Cosa accade a un pat se un account utente è disabilitato?

R: Dopo che un utente è stato rimosso da Azure DevOps, il pat viene invalidato entro 1 ora. Se l'organizzazione è connessa all'ID Microsoft Entra, il pat viene invalidato anche nell'ID Microsoft Entra, perché appartiene all'utente. È consigliabile che l'utente ruota il proprio pat a un altro account utente o di servizio per mantenere i servizi in esecuzione.

D: Esiste un modo per rinnovare un pat tramite l'API REST?

R: Sì, c'è un modo per rinnovare, gestire e creare patte usando le API di gestione del ciclo di vita pat. Per altre informazioni, vedere Gestire le api REST usando l'API REST e le domande frequenti.

D: È possibile usare l'autenticazione di base con tutte le API REST di Azure DevOps?

R: No. È possibile usare l'autenticazione di base con la maggior parte delle API REST di Azure DevOps, ma le organizzazioni e i profili supportano solo OAuth. Per altre informazioni, vedere Gestire le api REST tramite le API REST.

D: Cosa accade se si verifica accidentalmente il token di accesso personale in un repository pubblico in GitHub?

R: Azure DevOps esegue l'analisi dei PT controllati nei repository pubblici in GitHub. Quando viene rilevato un token persa, viene inviata immediatamente una notifica di posta elettronica dettagliata al proprietario del token e si registra un evento al log di controllo dell'organizzazione Azure DevOps. A meno che non sia stato disabilitato il criterio Revoca automatica token di accesso personali persi, viene immediatamente revocato il token di accesso personale persa. Si consiglia agli utenti interessati di attenuare immediatamente revocando il token trapelato e sostituendolo con un nuovo token.

Per altre informazioni, vedere Revocare automaticamente le reti AP perse.For more information, see Revoke leaked PAT automatically.

D: È possibile usare un token di accesso personale come ApiKey per pubblicare pacchetti NuGet in un feed di Azure Artifacts usando la riga di comando dotnet/nuget.exe?

R: No. Azure Artifacts non supporta il passaggio di un token di accesso personale come ApiKey. Quando si usa un ambiente di sviluppo locale, è consigliabile installare il provider di credenziali di Azure Artifacts per l'autenticazione con Azure Artifacts. Per altre informazioni, vedere gli esempi seguenti: dotnet, NuGet.exe. Per pubblicare i pacchetti usando Azure Pipelines, usare l'attività Autenticazione NuGet per eseguire l'autenticazione con l'esempio di feed.

D: Perché il mio PAT smetteva di funzionare?

R: L'autenticazione pat richiede di accedere regolarmente ad Azure DevOps usando il flusso di autenticazione completo. Una volta ogni 30 giorni è sufficiente per molti, ma potrebbe essere necessario eseguire l'accesso più spesso a seconda della configurazione di Microsoft Entra. Se il token di accesso personale smette di funzionare, provare prima di tutto ad accedere all'organizzazione, assicurandosi di passare alla richiesta di autenticazione completa. Se il pat non funziona ancora dopo, verificare se il pat è scaduto.