撤销组织用户的个人访问令牌
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
如果个人访问令牌(PAT)遭到入侵,则迅速采取行动至关重要。 管理员可以撤销用户的 PAT 来保护组织。 禁用用户帐户也会撤销其 PAT。
为什么要撤销用户 PAT?
撤销用户 PAT 对于以下原因至关重要:
- 已泄露的令牌:如果令牌遭到入侵,则防止未经授权的访问。
- 用户离开组织:确保以前的员工不再具有访问权限。
- 权限更改:使反映旧权限的令牌失效。
- 安全漏洞:缓解违规期间未经授权的访问。
- 常规安全做法:定期撤销令牌并将其重新颁发为安全策略的一部分。
先决条件
权限:是项目集合管理员组的成员。 组织所有者自动是此组的成员。
提示
若要创建或撤销自己的 PAT,请参阅 “创建或撤销 PAT”。
撤销 PAT
- 若要为组织的用户撤销 OAuth 授权(包括 PAT),请参阅 令牌吊销 - 撤销授权。
- 若要自动调用 REST API,请使用此 PowerShell 脚本,该脚本传递用户主体名称列表(UPN)。 如果不知道创建 PAT 的用户的 UPN,请使用具有指定日期范围的此脚本。
注意
使用日期范围时,也会撤销任何 JSON Web 令牌(JWT)。 在使用新令牌刷新之前,依赖于这些令牌的任何工具都不起作用。
- 成功撤销受影响的 PAT 后,通知用户。 他们可以根据需要重新创建令牌。
在 PAT 变为非活动状态之前,可能会延迟长达 1 小时,因为此延迟期会持续到禁用或删除操作在 Microsoft Entra ID 中完全处理为止。
FedAuth 令牌过期
登录时会颁发 FedAuth 令牌。 它适用于七天的滑动窗口。 每当在滑动窗口中刷新过期时,到期将自动延长七天。 如果用户定期访问该服务,则只需要初始登录。 在非活动期延长七天后,令牌将失效,用户必须再次登录。
PAT 过期
用户可以选择其 PAT 的到期日期,不超过一年。 建议使用较短的时间段,并在到期时生成新的 PAT。 用户在令牌过期前一周收到通知电子邮件。 用户可以生成新令牌、延长现有令牌的到期时间,或者根据需要更改现有令牌的范围。
审核日志
如果组织已连接到 Microsoft Entra ID,则可以访问跟踪各种事件的审核日志,包括权限更改、已删除的资源和日志访问。 这些审核日志对于检查吊销或调查任何活动非常有用。 有关详细信息,请参阅 Access、导出和筛选审核日志。
常见问题 (FAQ)
问:如果用户离开我的公司,PAT 会发生什么情况?
答:从 Microsoft Entra ID 中删除用户后,PAT 和 FedAuth 令牌在一小时内失效,因为刷新令牌仅有效一小时。
问:是否应撤销 JSON Web 令牌(JWT)?
答:如果你有你认为应撤销的 JWT,我们建议立即这样做。 使用 PowerShell 脚本撤销作为 OAuth 流一部分颁发的 JWT。 请务必在脚本中使用日期范围选项。