Бөлісу құралы:


Отзыв личных маркеров доступа для пользователей организации

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

В случае компрометации личных маркеров доступа (PAT) важно быстро действовать. Администраторы могут отозвать ПАТ пользователя в качестве меры безопасности для защиты организации. Кроме того, отключение учетной записи пользователя также отозвало свой PAT. Существует задержка, до одного часа, прежде чем PAT становится неактивным. Этот период задержки сохраняется до тех пор, пока операция отключения или удаления не будет полностью обработана в идентификаторе Microsoft Entra.

Необходимые компоненты

Уровень доступа: владелец организации или член группы "Администраторы коллекции проектов "

Для пользователей, если вы хотите создать или отозвать собственные PATS, см. статью "Создание или отмена личных маркеров доступа".

Отмена PATS

  1. Чтобы отменить авторизацию OAuth, включая PATs, для пользователей вашей организации, см . статью "Отзыв маркеров" — отмена авторизации.
  2. Используйте этот скрипт PowerShell для автоматизации вызова нового REST API путем передачи списка имен субъектов-пользователей (UPN). Если вы не знаете имя участника-пользователя, создавшего PAT, используйте этот сценарий, однако он должен быть основан на диапазоне дат.

Примечание.

При использовании диапазона дат все веб-токены JSON (JWTs) также отзываются. Любые средства, основанные на этих маркерах, не будут работать до обновления с новыми маркерами.

  1. После успешного отзыва затронутых PATS сообщите пользователям. При необходимости они могут воссоздать свои токены.

Истечение срока действия маркера FedAuth

Маркер FedAuth выдается при входе. Это допустимо для семидневного скользящего окна. Срок действия автоматически расширяется еще семь дней при обновлении его в скользящем окне. Если пользователи регулярно обращаются к службе, требуется только начальный вход. После периода бездействия, расширяющего семь дней, маркер становится недействительным, и пользователь должен войти снова.

Срок действия маркера личного доступа

Пользователи могут выбрать дату окончания срока действия личного маркера доступа, а не превышать один год. Рекомендуется использовать более короткие периоды времени, создавая новые PATS по истечении срока действия. Пользователи получают уведомление по электронной почте за неделю до истечения срока действия маркера. При необходимости пользователи могут создать новый маркер, продлить срок действия существующего маркера или изменить область существующего маркера.

Часто задаваемые вопросы

Вопрос. Что делать, если пользователь покидает мою компанию?

Ответ. После удаления пользователя из идентификатора Microsoft Entra маркеры PATs и FedAuth недействительны в течение часа, так как маркер обновления действителен только в течение одного часа.

Вопрос. Следует ли отозвать веб-маркеры JSON (JWTs)?

Ответ. Если у вас есть JWTs, которые вы считаете, должны быть отменены, мы рекомендуем сделать это. Отмените JWTs, выданные в рамках потока OAuth, с помощью скрипта PowerShell. Однако в скрипте необходимо использовать параметр диапазона дат.