Udostępnij za pośrednictwem

Odwoływanie osobistych tokenów dostępu dla użytkowników organizacji

  • Artykuł

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Jeśli osobisty token dostępu (PAT) zostanie naruszony, podejmij natychmiastowe działania. Dowiedz się, jak administrator może odwołać identyfikator PAT użytkownika jako środek ostrożności w celu ochrony organizacji. Możesz również wyłączyć użytkownika, który odwołuje swój pat. Opóźnienie (do godziny) przed zatrzymaniem działania patu po zakończeniu działania funkcji wyłączenia lub usunięcia w identyfikatorze Entra firmy Microsoft.

Wymagania wstępne

Tylko właściciel organizacji lub członek grupy project collection Administracja istrators może odwołać paTs użytkowników. Jeśli nie jesteś członkiem grupy project collection Administracja istrators, dodaj go jako jeden. Aby dowiedzieć się, jak znaleźć właściciela organizacji, zobacz Wyszukiwanie właściciela organizacji.

Jeśli chcesz utworzyć lub odwołać własne punkty dostępu, zobacz Tworzenie lub odwoływanie osobistych tokenów dostępu.

Odwoływanie paT

  1. Aby odwołać autoryzacje protokołu OAuth, w tym paTs, dla użytkowników organizacji, zobacz Odwołania tokenów — odwoływanie autoryzacji.
  2. Użyj tego skryptu programu PowerShell, aby zautomatyzować wywoływanie nowego interfejsu API REST, przekazując listę głównych nazw użytkowników (UPN). Jeśli nie znasz nazwy UPN użytkownika, który utworzył pat, użyj tego skryptu, jednak musi on być oparty na zakresie dat.

Uwaga

Należy pamiętać, że w przypadku używania zakresu dat wszystkie tokeny internetowe JSON (JWTs) również zostaną odwołane. Należy również pamiętać, że wszystkie narzędzia, które opierają się na tych tokenach, nie będą działać do czasu odświeżenia przy użyciu nowych tokenów.

  1. Po pomyślnym odwołaniu odpowiednich punktów dostępu użytkowników poinformuj użytkowników. W razie potrzeby mogą odtworzyć swoje tokeny.

Wygaśnięcie tokenu FedAuth

Token FedAuth jest wystawiany podczas logowania. Jest to ważne dla siedmiodniowego okna przesuwnego. Wygaśnięcie automatycznie wydłuża kolejne siedem dni za każdym razem, gdy odświeżysz je w oknie przewijania. Jeśli użytkownicy regularnie uzyskują dostęp do usługi, wymagane jest tylko początkowe logowanie. Po upływie okresu braku aktywności przez siedem dni token staje się nieprawidłowy i użytkownik musi zalogować się ponownie.

Wygaśnięcie osobistego tokenu dostępu

Użytkownicy mogą wybrać datę wygaśnięcia osobistego tokenu dostępu, a nie przekraczać jednego roku. Zalecamy używanie krótszych okresów, generowania nowych punktów paT po wygaśnięciu. Użytkownicy otrzymują wiadomość e-mail z powiadomieniem tydzień przed wygaśnięciem tokenu. Użytkownicy mogą wygenerować nowy token, przedłużyć wygaśnięcie istniejącego tokenu lub w razie potrzeby zmienić zakres istniejącego tokenu.

Często zadawane pytania (FAQ)

Pyt.: Co zrobić, jeśli użytkownik opuści firmę?

1: Po usunięciu użytkownika z identyfikatora Entra firmy Microsoft tokeny PATs i FedAuth są unieważniane w ciągu godziny, ponieważ token odświeżania jest ważny tylko przez jedną godzinę.

Pyt.: Co z tokenami internetowymi JSON (JWTs)?

1: Odwoływanie zestawów JWTs wystawionych w ramach przepływu OAuth za pośrednictwem skryptu programu PowerShell. Należy jednak użyć opcji zakresu dat w skrycie.