Отзыв личных маркеров доступа для пользователей организации

  • Статья

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Если ваш личный маркер доступа (PAT) скомпрометирован, выполните немедленное действие. Узнайте, как администратор может отозвать ПАТ пользователя в качестве меры предосторожности для защиты вашей организации. Вы также можете отключить пользователя, который отменяет свой PAT. Задержка (до часа) до завершения работы PAT завершается после завершения функции отключения или удаления в идентификаторе Microsoft Entra ID.

Необходимые компоненты

Только владелец организации или член группы Администратор istratorов коллекции проектов может отозвать пользовательские PATS. Если вы не являетесь членом группы Администратор istratorов коллекции проектов, добавьте его как один. Чтобы узнать, как найти владельца организации, ознакомьтесь с владелец организации.

Для пользователей, если вы хотите создать или отозвать собственные PATS, см. статью "Создание или отмена личных маркеров доступа".

Отмена PATS

  1. Чтобы отменить авторизацию OAuth, включая PATs, для пользователей вашей организации, см . статью "Отзыв маркеров" — отмена авторизации.
  2. Используйте этот скрипт PowerShell для автоматизации вызова нового REST API путем передачи списка имен субъектов-пользователей (UPN). Если вы не знаете имя участника-пользователя, создавшего PAT, используйте этот сценарий, однако он должен быть основан на диапазоне дат.

Примечание.

Помните, что при использовании диапазона дат все веб-токены JSON (JWTs) также отзываются. Кроме того, следует учитывать, что любые средства, основанные на этих маркерах, не будут работать до обновления с помощью новых маркеров.

  1. После успешного отзыва затронутых PATS сообщите пользователям об этом. При необходимости они могут воссоздать свои токены.

Истечение срока действия маркера FedAuth

Маркер FedAuth выдается при входе. Это допустимо для семидневного скользящего окна. Срок действия автоматически расширяется еще семь дней при обновлении его в скользящем окне. Если пользователи регулярно обращаются к службе, требуется только начальный вход. После периода бездействия, расширяющего семь дней, маркер становится недействительным, и пользователь должен войти снова.

Срок действия маркера личного доступа

Пользователи могут выбрать дату окончания срока действия личного маркера доступа, а не превышать один год. Рекомендуется использовать более короткие периоды времени, создавая новые PATS по истечении срока действия. Пользователи получают уведомление по электронной почте за неделю до истечения срока действия маркера. При необходимости пользователи могут создать новый маркер, продлить срок действия существующего маркера или изменить область существующего маркера.

Часто задаваемые вопросы

Вопрос. Что делать, если пользователь покидает мою компанию?

Ответ. После удаления пользователя из идентификатора Microsoft Entra маркеры PATs и FedAuth недействительны в течение часа, так как маркер обновления действителен только в течение одного часа.

Вопрос. Что такое веб-токены JSON (JWTs)?

Ответ. Отмена JWTs, выданная в рамках потока OAuth, с помощью скрипта PowerShell. Однако в скрипте необходимо использовать параметр диапазона дат.