Återkalla personliga åtkomsttoken för organisationsanvändare

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Om din personliga åtkomsttoken (PAT) har komprometterats vidtar du omedelbara åtgärder. Lär dig hur en administratör kan återkalla en användares PAT som en försiktighetsåtgärd för att skydda din organisation. Du kan också inaktivera en användare som återkallar sin PAT. Det finns svarstider (upp till en timme) innan PAT slutar fungera, men när funktionen inaktivera eller ta bort har slutförts i Microsoft Entra-ID.

Förutsättningar

Endast organisationsägaren eller en medlem i gruppen Projektsamlingsadministratörer kan återkalla användar-PAT: er. Om du inte är medlem i gruppen Projektsamlingsadministratörer läggs du till som en. Information om hur du hittar organisationens ägare finns i Leta upp organisationens ägare.

Om du vill skapa eller återkalla dina egna PAT:er för användare kan du läsa Skapa eller återkalla personliga åtkomsttoken.

Återkalla PAT:er

  1. Information om hur du återkallar OAuth-auktoriseringar, inklusive PAT för organisationens användare, finns i Token-återkallanden – Återkalla auktoriseringar.
  2. Använd det här PowerShell-skriptet för att automatisera anropet av det nya REST-API:et genom att skicka en lista över UPN (User Principal Names). Om du inte känner till UPN för användaren som skapade PAT använder du det här skriptet, men det måste baseras på ett datumintervall.

Kommentar

Tänk på att när du använder ett datumintervall återkallas även JSON-webbtoken (JWTs). Tänk också på att alla verktyg som förlitar sig på dessa token inte fungerar förrän de har uppdaterats med nya token.

  1. När du har återkallat de berörda PAT:erna meddelar du användarna. De kan återskapa sina token efter behov.

Förfallodatum för FedAuth-token

En FedAuth-token utfärdas när du loggar in. Det är giltigt för ett sju dagars skjutfönster. Förfallotiden förlänger automatiskt ytterligare sju dagar när du uppdaterar den i skjutfönstret. Om användarna kommer åt tjänsten regelbundet krävs endast en inledande inloggning. Efter en period av inaktivitet som förlänger sju dagar blir token ogiltig och användaren måste logga in igen.

Förfallodatum för personlig åtkomsttoken

Användare kan välja ett förfallodatum för sin personliga åtkomsttoken, inte överskrida ett år. Vi rekommenderar att du använder kortare tidsperioder och genererar nya PAT vid förfallodatum. Användarna får ett e-postmeddelande en vecka innan token upphör att gälla. Användare kan generera en ny token, förlänga förfallodatum för den befintliga token eller ändra omfånget för den befintliga token om det behövs.

Vanliga frågor (FAQ)

F: Vad händer om en användare lämnar mitt företag?

S: När en användare har tagits bort från Microsoft Entra-ID ogiltigförklaras PAT och FedAuth-token inom en timme, eftersom uppdateringstoken endast är giltig i en timme.

F: Hur är det med JSON-webbtoken (JWTs)?

S: Återkalla JWT:er som utfärdats som en del av OAuth-flödet via PowerShell-skriptet. Du måste dock använda alternativet datumintervall i skriptet.