Partilhar via

Revogar tokens de acesso pessoal para utilizadores da organização

  • Artigo

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

No caso de um Personal Access Token (PAT) ser comprometido, é crucial agir rapidamente. Os administradores têm a capacidade de revogar a PAT de um utilizador como medida de segurança para proteger a organização. Além disso, desativar a conta de um usuário também revogará seu PAT. Há um atraso, de até uma hora, antes que o PAT fique inativo. Esse período de latência persiste até que a operação de desativação ou exclusão seja totalmente processada no Microsoft Entra ID.

Pré-requisitos

Nível de acesso: proprietário da organização ou membro do grupo Administradores da Coleção de Projetos

Para os usuários, se você quiser criar ou revogar seus próprios PATs, consulte Criar ou revogar tokens de acesso pessoal.

Revogar PATs

  1. Para revogar as autorizações OAuth, incluindo PATs, para os usuários da sua organização, consulte Revogações de token - Revogar autorizações.
  2. Use esse script do PowerShell para automatizar a chamada da nova API REST passando uma lista de UPNs (nomes principais do usuário). Se você não sabe o UPN do usuário que criou o PAT, use este script, no entanto, ele deve ser baseado em um intervalo de datas.

Nota

Quando você usa um intervalo de datas, todos os tokens da Web JSON (JWTs) também são revogados. Qualquer ferramenta que dependa desses tokens não funcionará até ser atualizada com novos tokens.

  1. Depois de revogar com êxito os PATs afetados, informe os usuários. Eles podem recriar seus tokens conforme necessário.

Expiração do token FedAuth

Um token FedAuth é emitido quando você faz login. É válido para uma janela deslizante de sete dias. A expiração estende-se automaticamente por mais sete dias sempre que o atualizar dentro da janela deslizante. Se os utilizadores acedem ao serviço regularmente, apenas é necessário um início de sessão. Após um período de inatividade que se estende por sete dias, o token torna-se inválido e o usuário deve entrar novamente.

Expiração do token de acesso pessoal

Os usuários podem escolher uma data de validade para seu token de acesso pessoal, não superior a um ano. Recomendamos que você use períodos de tempo mais curtos, gerando novos PATs após o vencimento. Os usuários recebem um e-mail de notificação uma semana antes do vencimento do token. Os usuários podem gerar um novo token, estender a expiração do token existente ou alterar o escopo do token existente, se necessário.

Perguntas mais frequentes (FAQ)

P: E se um utilizador sair da minha empresa?

R: Uma vez que um usuário é removido do Microsoft Entra ID, os tokens PATs e FedAuth invalidam dentro de uma hora, já que o token de atualização é válido apenas por uma hora.

P: Devo revogar tokens da web JSON (JWTs)?

R: Se você tem JWTs que você acredita que devem ser revogados, sugerimos que o faça. Revogar JWTs, emitidos como parte do fluxo OAuth, por meio do script PowerShell. No entanto, você deve usar a opção de intervalo de datas no script.