Udostępnij za pośrednictwem

Odwoływanie osobistych tokenów dostępu dla użytkowników organizacji

  • Artykuł

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

W przypadku naruszenia bezpieczeństwa osobistego tokenu dostępu (PAT) kluczowe jest szybkie działanie. Administratorzy mają możliwość odwołania patu użytkownika jako środka zabezpieczającego w celu ochrony organizacji. Ponadto wyłączenie konta użytkownika spowoduje również odwołanie dostępu do konta użytkownika. Opóźnienie może potrwać do jednej godziny, zanim pat stanie się nieaktywny. Ten okres opóźnienia będzie się powtarzać, dopóki operacja wyłączenia lub usunięcia nie zostanie w pełni przetworzona w identyfikatorze Entra firmy Microsoft.

Wymagania wstępne

Poziom dostępu: właściciel organizacji lub członek grupy Administratorzy kolekcji projektów

Jeśli chcesz utworzyć lub odwołać własne punkty dostępu, zobacz Tworzenie lub odwoływanie osobistych tokenów dostępu.

Odwoływanie paT

  1. Aby odwołać autoryzacje protokołu OAuth, w tym paTs, dla użytkowników organizacji, zobacz Odwołania tokenów — odwoływanie autoryzacji.
  2. Użyj tego skryptu programu PowerShell, aby zautomatyzować wywoływanie nowego interfejsu API REST, przekazując listę głównych nazw użytkowników (UPN). Jeśli nie znasz nazwy UPN użytkownika, który utworzył pat, użyj tego skryptu, jednak musi on być oparty na zakresie dat.

Uwaga

W przypadku używania zakresu dat wszystkie tokeny internetowe JSON (JWTs) również zostaną odwołane. Wszystkie narzędzia, które opierają się na tych tokenach, nie będą działać do czasu odświeżenia przy użyciu nowych tokenów.

  1. Po pomyślnym odwołaniu odpowiednich punktów dostępu użytkowników poinformuj użytkowników. W razie potrzeby mogą odtworzyć swoje tokeny.

Wygaśnięcie tokenu FedAuth

Token FedAuth jest wystawiany podczas logowania. Jest to ważne dla siedmiodniowego okna przesuwnego. Wygaśnięcie automatycznie wydłuża kolejne siedem dni za każdym razem, gdy odświeżysz je w oknie przewijania. Jeśli użytkownicy regularnie uzyskują dostęp do usługi, wymagane jest tylko początkowe logowanie. Po upływie okresu braku aktywności przez siedem dni token staje się nieprawidłowy i użytkownik musi zalogować się ponownie.

Wygaśnięcie osobistego tokenu dostępu

Użytkownicy mogą wybrać datę wygaśnięcia osobistego tokenu dostępu, a nie przekraczać jednego roku. Zalecamy używanie krótszych okresów, generowania nowych punktów paT po wygaśnięciu. Użytkownicy otrzymują wiadomość e-mail z powiadomieniem tydzień przed wygaśnięciem tokenu. Użytkownicy mogą wygenerować nowy token, przedłużyć wygaśnięcie istniejącego tokenu lub w razie potrzeby zmienić zakres istniejącego tokenu.

Często zadawane pytania (FAQ)

.: Co zrobić, jeśli użytkownik opuści firmę?

1: Po usunięciu użytkownika z identyfikatora Entra firmy Microsoft tokeny PATs i FedAuth są unieważniane w ciągu godziny, ponieważ token odświeżania jest ważny tylko przez jedną godzinę.

.: Czy należy odwołać tokeny internetowe JSON (JWTs)?

1: Jeśli masz JWTs, które uważasz za odwołane, sugerujemy, aby to zrobić. Odwołaj JWTs wydane w ramach przepływu OAuth za pośrednictwem skryptu programu PowerShell. Należy jednak użyć opcji zakresu dat w skrycie.