Odvolávání tokenů PAT pro uživatele organizace

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Pokud dojde k ohrožení zabezpečení tokenu PAT (Personal Access Token), je důležité rychle jednat. Správci můžou odvolat pat uživatele, aby zajistili ochranu organizace. Zakázání účtu uživatele také odvolá přístup PAT.

Proč odvolat paty uživatelů?

Odvolání patů uživatelů je nezbytné z následujících důvodů:

• Ohrožený token: Pokud dojde k ohrožení zabezpečení tokenu, zabráníte neoprávněnému přístupu.
• Uživatel opustí organizaci: Ujistěte se, že dřívější zaměstnanci už nemají přístup.
• Změny oprávnění: Zneplatnění tokenů odrážejících stará oprávnění
• Porušení zabezpečení: Zmírnění neoprávněného přístupu během porušení zabezpečení
• Pravidelné postupy zabezpečení: V rámci zásad zabezpečení pravidelně odvoláte tokeny a znovu je odvoláte.

Požadavky

Oprávnění: Být členem skupiny Správci kolekce projektů. Vlastníci organizace jsou automaticky členy této skupiny.

Tip

Pokud chcete vytvořit nebo odvolat vlastní paty, přečtěte si téma Vytvoření nebo odvolání patů.

Odvolání PAT

1. Pokud chcete odvolat autorizace OAuth, včetně patů, pro uživatele vaší organizace, přečtěte si téma Odvolání tokenů – Odvolání autorizace.
2. K automatizaci volání rozhraní REST API použijte tento skript PowerShellu, který předává seznam hlavních názvů uživatelů (UPN). Pokud hlavní název uživatele, který vytvořil pat, neznáte, použijte tento skript se zadaným rozsahem kalendářních dat.

Poznámka:

Když použijete rozsah kalendářních dat, dojde také k odvolání webových tokenů JSON (JWT). Všechny nástroje, které se na tyto tokeny spoléhají, nefungují, dokud se neaktualizuje s novými tokeny.

3. Po úspěšném odvolání ovlivněných patů informujte uživatele. Podle potřeby můžou tokeny znovu vytvořit.

Může trvat až jednu hodinu, než se pat stane neaktivním, protože toto období latence trvá, dokud se operace zákazu nebo odstranění plně nezpracuje v Microsoft Entra ID.

Vypršení platnosti tokenu FedAuth

Token FedAuth se vydá při přihlášení. Platí pro sedmidenní posuvné okno. Platnost platnosti se automaticky prodlouží o sedm dní, kdykoli ji aktualizujete v posuvném okně. Pokud uživatelé k této službě přistupují pravidelně, je potřeba jenom počáteční přihlášení. Po uplynutí 7 dnů nečinnosti se token stane neplatným a uživatel se musí znovu přihlásit.

Vypršení platnosti pat

Uživatelé můžou zvolit datum vypršení platnosti pat, které nesmí překročit jeden rok. Doporučujeme používat kratší časová období a generovat nové paty po vypršení platnosti. Uživatelé dostanou e-mail s oznámením jeden týden před vypršením platnosti tokenu. Uživatelé můžou vygenerovat nový token, prodloužit platnost stávajícího tokenu nebo v případě potřeby změnit rozsah stávajícího tokenu.

Protokoly auditování

Pokud je vaše organizace připojená k MICROSOFT Entra ID, máte přístup k protokolům auditu, které sledují různé události, včetně změn oprávnění, odstraněných prostředků a přístupu k protokolům. Tyto protokoly auditu jsou cenné pro kontrolu odvolání nebo vyšetřování jakékoli aktivity. Další informace najdete v tématu Přístup, export a filtrování protokolů auditu.

Nejčastější dotazy

Otázka: Co se stane s patem, když uživatel odejde z mé společnosti?

A: Jakmile se uživatel odebere z ID Microsoft Entra, tokeny PAT a FedAuth se za hodinu zneplatní, protože obnovovací token je platný pouze po dobu jedné hodiny.

Otázka: Mám odvolat webové tokeny JSON (JWT)?

A: Pokud máte JWT, u kterých se domníváte, že by měly být odvolány, doporučujeme to provést okamžitě. Odvolání JWT vydaných v rámci toku OAuth pomocí skriptu PowerShellu Nezapomeňte použít možnost rozsahu dat ve skriptu.

Související články

• Zjistěte, jak Microsoft chrání vaše projekty a data v Azure DevOps.
• Vytvoření nebo odvolání patů