다음을 통해 공유

조직 사용자에 대한 개인용 액세스 토큰 해지

  • 아티클

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

PAT(개인용 액세스 토큰)가 손상된 경우 신속하게 작업하는 것이 중요합니다. 관리자는 조직의 보안을 위해 사용자의 PAT를 보안 조치로 해지할 수 있습니다. 또한 사용자의 계정을 사용하지 않도록 설정하면 PAT도 해지됩니다. PAT가 비활성 상태가 되기까지 최대 1시간의 지연이 있습니다. 이 대기 시간 기간은 Microsoft Entra ID에서 사용 안 함 또는 삭제 작업이 완전히 처리될 때까지 유지됩니다.

필수 조건

액세스 수준: 프로젝트 컬렉션 관리자 그룹의 조직 소유자 또는 구성원

사용자의 경우 사용자 고유의 PAT를 만들거나 해지하려면 개인 액세스 토큰 만들기 또는 해지를 참조 하세요.

PAT 해지

  1. 조직의 사용자에 대해 PAT를 포함한 OAuth 권한 부여를 취소하려면 토큰 해지 - 권한 부여 취소를 참조 하세요.
  2. PowerShell 스크립트 를 사용하여 UPN(사용자 계정 이름) 목록을 전달하여 새 REST API 호출을 자동화합니다. PAT를 만든 사용자의 UPN을 모르는 경우 이 스크립트를 사용하되 날짜 범위를 기반으로 해야 합니다.

참고 항목

날짜 범위를 사용하는 경우 JWT(JSON 웹 토큰)도 해지됩니다. 이러한 토큰을 사용하는 도구는 새 토큰으로 새로 고칠 때까지 작동하지 않습니다.

  1. 영향을 받는 PAT를 성공적으로 해지한 후 사용자에게 알릴 수 있습니다. 필요에 따라 토큰을 다시 만들 수 있습니다.

FedAuth 토큰 만료

로그인할 때 FedAuth 토큰이 발급됩니다. 7일 슬라이딩 윈도우에 적합합니다. 만료는 슬라이딩 윈도우 내에서 새로 고칠 때마다 7일 더 자동으로 연장됩니다. 사용자가 정기적으로 서비스에 액세스하는 경우 초기 로그인만 필요합니다. 비활성 기간이 7일로 연장되면 토큰이 유효하지 않고 사용자가 다시 로그인해야 합니다.

개인 액세스 토큰 만료

사용자는 1년을 초과하지 않고 개인용 액세스 토큰의 만료 날짜를 선택할 수 있습니다. 만료 시 새 PAT를 생성하여 더 짧은 기간을 사용하는 것이 좋습니다. 사용자는 토큰이 만료되기 일주일 전에 알림 이메일을 받습니다. 사용자는 새 토큰을 생성하거나, 기존 토큰의 만료 기간을 연장하거나, 필요한 경우 기존 토큰의 범위를 변경할 수 있습니다.

감사 로그

조직이 Microsoft Entra ID에 연결된 경우 권한 변경, 삭제된 리소스 및 로그 액세스를 비롯한 다양한 이벤트를 추적하는 감사 로그에 액세스할 수 있습니다. 해지를 확인하거나 활동을 조사해야 하는 경우 감사 로그는 중요한 리소스입니다. 자세한 내용은 감사 로그 액세스 , 내보내기 및 필터링을 참조하세요.

FAQ(질문과 대답)

Q: 사용자가 회사를 떠나는 경우 PAT는 어떻게 되나요?

A: 사용자가 Microsoft Entra ID에서 제거되면 새로 고침 토큰이 1시간 동안만 유효하므로 PAT 및 FedAuth 토큰이 1시간 이내에 무효화됩니다.

Q: JWT(JSON 웹 토큰)를 해지해야 하나요?

A: 해지해야 한다고 생각되는 JWT가 있는 경우 그렇게 하는 것이 좋습니다. PowerShell 스크립트를 통해 OAuth 흐름의 일부로 발급된 JWT를 해지합니다. 그러나 스크립트에서 날짜 범위 옵션을 사용해야 합니다.