撤销组织用户的个人访问令牌
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
如果个人访问令牌(PAT)遭到入侵,请立即采取行动。 了解管理员如何撤销用户的 PAT,作为保护组织的预防措施。 还可以禁用撤消其 PAT 的用户。 但当禁用或删除函数在 Microsoft Entra ID 中完成后,PAT 停止工作之前,延迟(最长为一小时)。
先决条件
只有组织所有者或 Project Collection 管理员istrators 组的成员才能撤销用户 PAT。 如果你不是 Project Collection 管理员istrators 组的成员,请将其添加为一个。 若要了解如何查找组织所有者,请参阅查找组织所有者。
对于用户,如果要创建或撤销自己的 PAT,请参阅 “创建或撤销个人访问令牌”。
撤销 PAT
- 若要为组织的用户撤销 OAuth 授权(包括 PAT),请参阅 令牌吊销 - 撤销授权。
- 使用此 PowerShell 脚本 通过传递用户主体名称列表(UPN)来自动调用新的 REST API。 如果不知道创建 PAT 的用户的 UPN,请使用此脚本,但必须基于日期范围。
注意
请记住,使用日期范围时,也会撤销任何 JSON Web 令牌(JWT)。 另请注意,在使用新令牌刷新之前,依赖于这些令牌的任何工具都不起作用。
- 成功撤销受影响的 PAT 后,让用户知道。 他们可以根据需要重新创建令牌。
FedAuth 令牌过期
登录时会颁发 FedAuth 令牌。 它适用于七天的滑动窗口。 每当在滑动窗口中刷新过期时,到期将自动延长七天。 如果用户定期访问该服务,则只需要初始登录。 在非活动期延长七天后,令牌将失效,用户必须再次登录。
个人访问令牌过期
用户可以选择其个人访问令牌的到期日期,不超过一年。 建议使用较短的时间段,在到期时生成新的 PAT。 用户在令牌到期前一周收到通知电子邮件。 用户可以生成新令牌、延长现有令牌的到期时间,或者根据需要更改现有令牌的范围。
常见问题 (FAQ)
问:如果用户离开我的公司,该怎么办?
答:从 Microsoft Entra ID 中删除用户后,PAT 和 FedAuth 令牌在一小时内失效,因为刷新令牌仅有效一小时。
问:JSON Web 令牌(JWT)怎么样?
答:通过 PowerShell 脚本撤销作为 OAuth 流的一部分颁发的 JWT。 但是,必须在脚本中使用日期范围选项。
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈