Sdílet prostřednictvím

Použití osobních přístupových tokenů (PAT)

  • Článek

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Token PAT (Personal Access Token) slouží jako alternativní heslo pro ověřování v Azure DevOps. Tento pat vás identifikuje a určuje přístupnost a rozsah přístupu. Proto s paty zachází se stejnou úrovní opatrnosti jako s hesly.

Pokud používáte nástroje Microsoftu, váš účet Microsoft (MSA) nebo Microsoft Entra ID je rozpoznaná a podporovaná metoda. Pokud používáte nástroje, které nepodporují účty Microsoft Entra nebo pokud nechcete s těmito nástroji sdílet své primární přihlašovací údaje, můžou být pats vhodná alternativa. V opačném případě doporučujeme tokeny Microsoft Entra přes PAT, kdykoli je to možné.

Tip

Doporučujeme přezkoumat naše pokyny k ověřování a, abyste zvolili vhodný mechanismus ověřování pro vaše potřeby. Tato stránka v naší dokumentaci nabízí určité pokyny k běžným scénářům PAT, které by místo toho mohly být lépe využity tokeny Microsoft Entra.

Můžete spravovat osobní přístupové tokeny pomocí následujících metod:

Požadavky

  • Oprávnění:
    • Mít oprávnění k přístupu a úpravě uživatelských nastavení, kde se spravují paty.
      • Kontrola oprávnění: Pokud chcete zkontrolovat svá oprávnění, proveďte v Azure DevOps některý z následujících procesů:
        • Přejděte do svého profilu a vyberte Osobní přístupové tokeny uživatelských nastavení>. Pokud tady vidíte a spravujete pracovní stanice s privilegovaným přístupem, máte potřebná oprávnění.
        • Přejděte do projektu a vyberte Oprávnění nastavení>projektu. Najděte v seznamu svůj uživatelský účet a zkontrolujte oprávnění přiřazená vám. Vyhledejte oprávnění související se správou tokenů nebo uživatelských nastavení.
    • Pokud má vaše organizace zavedené zásady, správce Azure DevOps vám možná bude muset udělit konkrétní oprávnění nebo vás přidat do seznamu povolených pro vytváření a správu PAT.
    • PAT jsou připojené k uživatelskému účtu, který token vytvořil. V závislosti na úlohách, které PAT provádí, můžete sami potřebovat více oprávnění.
  • Úrovně přístupu: Mají alespoň základní přístup.
  • Ověřené postupy zabezpečení : Seznamte se s ověřenými postupy zabezpečení pro správu osobních přístupových tokenů (PAT). Používejte je pouze v případě potřeby a vždy je pravidelně otáčejte.

Vytvoření pat

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{Your_Organization}).

  2. Na domovské stránce otevřete uživatelská nastavení a vyberte Osobní přístupové tokeny.

    Snímek obrazovky znázorňující výběr osobních přístupových tokenů

  3. Vyberte + Nový token.

    Snímek obrazovky znázorňující výběr, Nový token

  4. Pojmenujte token, vyberte organizaci, ve které chcete token použít, a potom nastavte, aby platnost tokenu po nastaveném počtu dnů automaticky vypršela.

    Snímek obrazovky znázorňující položku základních informací o tokenech

  5. Vyberte obory tohoto tokenu, které chcete autorizovat pro vaše konkrétní úkoly.

    Pokud chcete například vytvořit token pro agenta sestavení a verze pro ověření v Azure DevOps, nastavte obor tokenu na fondy agentů (čtení a správa). Pokud chcete číst události protokolu auditu a spravovat nebo odstraňovat streamy, vyberte Protokol auditu a pak vyberte Vytvořit.

    Snímek obrazovky znázorňující vybrané obory pat

    Poznámka:

    Vytváření úplného rozsahu pat může být omezené. Pokud ano, váš správce Azure DevOps v Microsoft Entra ID povolil zásadu, která vás omezuje na konkrétní sadu oborů definovaných vlastními daty. Další informace najdete v tématu Správa patů pomocí zásad /Omezit vytváření plně omezených patů. U vlastního definovaného tokenu PAT není požadovaný obor pro přístup k rozhraní API vso.governancezásad správného řízení součástí v uživatelském rozhraní vybrán.

  6. Až budete hotovi, zkopírujte token a uložte ho do zabezpečeného umístění. Pro vaše zabezpečení se znovu nezobrazí.

    Snímek obrazovky znázorňující, jak token zkopírovat do schránky

Pro ověřování v Azure DevOps použijte pat všude, kde jsou vyžadovány přihlašovací údaje uživatele.

Důležité

  • Zacházejte s PAT se stejnými opatrnostmi jako s heslem a udržujte ho v tajnosti.
  • Přihlaste se pomocí nové paty do 90 dnů pro organizace, které jsou podporovány Microsoft Entra ID; jinak se pat stane neaktivním. Další informace najdete v tématu Frekvence přihlašování uživatelů pro podmíněný přístup.

Oznámení

Během životnosti pat obdrží uživatelé dvě oznámení: první v době vytvoření a druhý sedm dní před vypršením platnosti.

Po vytvoření pat obdržíte oznámení podobné následujícímu příkladu. Toto oznámení slouží jako potvrzení úspěšného přidání pat do vaší organizace.

Snímek obrazovky zobrazující oznámení o vytvoření PAT

Následující obrázek ukazuje příklad sedmidenního oznámení před vypršením platnosti pat.

Snímek obrazovky s oznámením PAT o blížícím se vypršení platnosti

Další informace najdete v tématu Konfigurace serveru SMTP a přizpůsobení e-mailu pro výstrahy a žádosti o zpětnou vazbu.

Neočekávané oznámení

Pokud se zobrazí neočekávané oznámení PAT, může to znamenat, že správce nebo nástroj vytvořil pat za vás. Zde je uvedeno několik příkladů.

  • Token s názvem Git: https://dev.azure.com/{Your_Organization} on YourMachine se vytvoří při připojení k úložišti Git Azure DevOps přes git.exe.
  • Token s názvem "Service Hooks: : Aplikace Azure Service: : Deploy web app" se vytvoří, když vy nebo správce nastavíte nasazení webové aplikace Aplikace Azure Service.
  • Token s názvem WebAppLoadTestCDIntToken se vytvoří při nastavení webového zátěžového testování jako součást kanálu vámi nebo správcem.
  • Token s názvem Integrace Microsoft Teams se vytvoří při nastavení rozšíření Microsoft Teams Integration Messaging.

Upozorňující

Použití pat

Váš pat slouží jako vaše digitální identita, podobně jako heslo. PaTs se dají použít jako rychlý způsob, jak provádět jednorázové žádosti nebo místně vytvořit prototyp aplikace.

Důležité

Když váš kód funguje, je vhodné přejít ze základního ověřování na Microsoft Entra OAuth. Tokeny Microsoft Entra lze použít kdekoli, kde se používá pat, pokud není uvedeno níže.

Pomocí pat v kódu můžete ověřovat rozhraní REST API požadavky a automatizovat pracovní postupy. Pokud to chcete udělat, zahrňte pat do autorizační hlavičky vašich požadavků HTTP.

Pokud chcete pat poskytnout prostřednictvím hlavičky HTTP, nejprve ho Base64 převeďte na řetězec. Následující příklad ukazuje, jak převést na Base64 použití jazyka C#.


Authorization: Basic BASE64_USERNAME_PAT_STRING

Výsledný řetězec je pak možné zadat jako hlavičku HTTP v následujícím formátu.

Následující ukázka používá třídu HttpClient v jazyce C#.

public static async void GetBuilds()
{
    try
    {
        var personalaccesstoken = "PATFROMWEB";

        using (HttpClient client = new HttpClient())
        {
            client.DefaultRequestHeaders.Accept.Add(
                new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

            client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
                Convert.ToBase64String(
                    System.Text.ASCIIEncoding.ASCII.GetBytes(
                        string.Format("{0}:{1}", "", personalaccesstoken))));

            using (HttpResponseMessage response = client.GetAsync(
                        "https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
            {
                response.EnsureSuccessStatusCode();
                string responseBody = await response.Content.ReadAsStringAsync();
                Console.WriteLine(responseBody);
            }
        }
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex.ToString());
    }
}

Tip

Při použití proměnných přidejte $ na začátek řetězce, například v následujícím příkladu.

public static async void GetBuilds()
{
   try
  {
      var personalaccesstoken = "PATFROMWEB";

      using (HttpClient client = new HttpClient())
       {
           client.DefaultRequestHeaders.Accept.Add(
              new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

           client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
               Convert.ToBase64String(
                   System.Text.ASCIIEncoding.ASCII.GetBytes(
                       string.Format("{0}:{1}", "", personalaccesstoken))));

          using (HttpResponseMessage response = client.GetAsync(
                       $"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
           {
               response.EnsureSuccessStatusCode();
               string responseBody = await response.Content.ReadAsStringAsync();
               Console.WriteLine(responseBody);
           }
       }
   }
   catch (Exception ex)
   {
       Console.WriteLine(ex.ToString());
   }
}

Některé další příklady použití PAT najdete v následujících článcích:

Úprava patu

Postupujte takto:

  • Znovu vygenerujte token PAT a vytvořte nový token, který zneplatní předchozí token.
  • Prodloužením platnosti pat zvýšíte jeho dobu platnosti.
  • Změňte rozsah pat a změňte jeho oprávnění.

  1. Na domovské stránce otevřete nastavení uživatele a pak vyberte Profil.

    Snímek obrazovky znázorňující posloupnost tlačítek, která se mají vybrat pro úpravu pat

  2. V části Zabezpečení vyberte Osobní přístupové tokeny. Vyberte token, který chcete upravit, a pak upravte.

    Snímek obrazovky se zvýrazněným tlačítkem Upravit pro úpravu PAT

  3. Upravte název tokenu, vypršení platnosti tokenu nebo obor přístupu přidružený k tokenu a pak vyberte Uložit.

    Snímek obrazovky s upraveným patem

Odvolání pat

Pat můžete kdykoli odvolat z těchto a dalších důvodů:

  • Pokud se domníváte, že dojde k ohrožení zabezpečení, odvolejte pat.
  • Odvolat pat, když už není potřeba.
  • Odvoláním pat vynucujte zásady zabezpečení nebo požadavky na dodržování předpisů.

  1. Na domovské stránce otevřete nastavení uživatele a pak vyberte Profil.

    Snímek obrazovky znázorňující posloupnost tlačítek pro výběr, Team Services, stránku náhledu a odvolání pat

  2. V části Zabezpečení vyberte Osobní přístupové tokeny. Vyberte token, pro který chcete odvolat přístup, a pak vyberte Odvolat.

    Snímek obrazovky znázorňující výběr pro odvolání jednoho tokenu nebo všech tokenů

  3. V potvrzovacím dialogovém okně vyberte Možnost Odvolat .

    Snímek obrazovky zobrazující potvrzovací obrazovku pro odvolání PAT

Další informace najdete v tématu Odvolání pat uživatelů pro správce.

Změny formátu

Od července 2024 jsme výrazně změnili formát PAT vydaných Azure DevOps. Tyto změny poskytují více výhod zabezpečení a zlepšují nástroje pro detekci tajných kódů dostupné prostřednictvím našich nástrojů pro úniku nástrojů pro detekci PAT nebo partnerských nabídek. Tento nový formát PAT se řídí doporučeným formátem ve všech produktech Microsoftu. Zahrnutí identifikovatelných bitů zlepšuje míru detekce falešně pozitivních výsledků těchto nástrojů pro detekci tajných kódů a umožňuje nám rychleji zmírnit zjištěné úniky.

Klíčové změny:

  • Zvýšená délka tokenu: Nové tokeny teď mají délku 84 znaků, přičemž randomizovaná data jsou 52 znaků. Tato zvýšená délka zlepšuje celkovou entropii a zvyšuje odolnost tokenů vůči potenciálním útokům hrubou silou.
  • Pevný podpis: Tokeny vydané naší službou obsahují pevný AZDO podpis na pozicích 76-80.

Požaduje se akce:

  • Znovu vygenerovat stávající paty: Důrazně doporučujeme znovu vygenerovat všechny pracovní stanice, které se aktuálně používají, aby bylo možné využít těchto vylepšení zabezpečení.
  • Podpora integrátorů: Integrátoři by měli aktualizovat své systémy tak, aby vyhovovaly novým i stávajícím délkám tokenů.

Důležité

Oba formáty zůstávají platné v dohledné budoucnosti, ale aktivně doporučujeme zákazníkům přejít na nový formát 84 znaků. S nárůstem přijetí nového formátu zvažujeme vyřazení staršího formátu o 52 znaků a všech tokenů vydaných v daném stylu.

Osvědčené postupy PAT

  • PAT vždy ukládat do zabezpečeného řešení správy klíčů, jako je Azure KeyVault.
  • Pokud je to možné, používejte správce přihlašovacích údajů, jako je Git Credential Manager nebo Správce přihlašovacích údajů Azure Artifacts, kdykoli je to možné, správu přihlašovacích údajů zjednodušte. Tyto nástroje mohou mít možnosti používat tokeny Microsoft Entra místo PAT.
  • Nepoužívejte při vytváření PAT žádné osobní identifikovatelné údaje v názvu PAT. PAT tokenový řetězec nepřejmenujte na název vašeho tokenu.
  • Pokud váš PAT nepotřebuje přístup k více organizacím, zvolte pouze tu organizaci, ke které potřebuje přístup. Pokud máte pracovní postup, který pro přístup k více organizacím vyžaduje token PAT, vytvořte samostatný globální token PAT pro tento pracovní postup.
  • Zvolte pouze potřebné rozsahy pro jednotlivé PAT. Pokud je to možné, vytvořte pro každý pracovní postup několik PATů s menším rozsahem místo jednoho PAT s plným rozsahem. Pokud váš PAT potřebuje jenom oprávnění ke čtení, nezadávejte oprávnění k zápisu, dokud nebude potřeba.
  • Držte životnosti PAT krátké (na týdenní bázi) a pravidelně je měňte nebo obnovujte. Proveďte to v uživatelském rozhraní nebo prostřednictvím API pro správu životního cyklu PAT.
  • Správci tenanta mohou nastavit zásady tak, aby omezily globální vytváření PAT, vytváření PAT s plným rozsahem a dlouhou dobu platnosti PAT. Mohou také povolit, aby zásady automaticky odvolaly uniklé osobní přístupové tokeny zjištěné ve veřejných úložištích. Pomocí těchto zásad můžete zlepšit zabezpečení vaší společnosti.
  • Zrušte PATs, když už nejsou potřeba. Správci tenantů mohou odvolat osobní přístupové tokeny pro uživatele organizace, pokud je osobní přístupový token kompromitován.
  • Otočte své PATy tak, aby používaly nový formát PAT pro lepší detekci úniku citlivých údajů.

Nejčastější dotazy

Otázka: Proč nemůžu upravit nebo znovu vygenerovat pat s vymezeným oborem pro jednu organizaci?

A: Ujistěte se, že jste přihlášení k organizaci, ve které je obor pat. Všechny pracovní stanice můžete zobrazit při přihlášení k jakékoli organizaci ve stejném ID Microsoft Entra, ale tokeny v oboru organizace můžete upravovat jenom v případě, že jste přihlášení k organizaci, na kterou jsou vymezeny.

Otázka: Co se stane s patem, pokud je uživatelský účet zakázaný?

A: Když se uživatel odebere z Azure DevOps, platnost pat se zruší do 1 hodiny. Pokud je vaše organizace připojená k Microsoft Entra ID, pat také zneplatní v Microsoft Entra ID, protože patří uživateli. Pokud chcete udržovat služby spuštěné, doporučujeme ho otočit na jiného uživatele nebo účtu služby.

Otázka: Existuje způsob, jak obnovit pat prostřednictvím rozhraní REST API?

Ano, existuje způsob, jak obnovit, spravovat a vytvářet PAT pomocí našich rozhraní API pro správu životního cyklu PAT.

Otázka: Můžu používat PAT se všemi rozhraními REST API Azure DevOps?

Odpověď: Ne. Základní ověřování můžete použít u většiny rozhraní REST API Azure DevOps, ale organizace a profily a rozhraní API životního cyklu PAT Management) podporují pouze microsoft Entra OAuth. Příklad nastavení aplikace Entra pro volání těchto rozhraní API najdete v tématu správa PAT pomocí dokumentace k rozhraní REST API.

Otázka: Co se stane, když omylem zkontroluji pat do veřejného úložiště na GitHubu?

A: Azure DevOps vyhledá paty, které jsou rezervované ve veřejných úložištích na GitHubu. Když najdeme nevracený token, okamžitě pošleme vlastníkovi tokenu podrobné e-mailové oznámení a zapíšeme událost do protokolu auditu vaší organizace Azure DevOps. Pokud nezakážete zásady automaticky odvolaných tokenů pat, okamžitě odvoláme nevracený token PAT. Doporučujeme ovlivněným uživatelům tento problém zmírnit odvoláním nevraceného tokenu a nahrazením novým tokenem.

Další informace naleznete v tématu Odvolání nevracených PAT automaticky.

Otázka: Můžu použít osobní přístupový token jako ApiKey k publikování balíčků NuGet do informačního kanálu Azure Artifacts pomocí příkazového řádku dotnet/nuget.exe?

Odpověď: Ne. Služba Azure Artifacts nepodporuje předávání tokenu PAT jako ApiKey. Pokud používáte místní vývojové prostředí, doporučujeme pro ověřování v Azure Artifacts nainstalovat Azure Artifacts Credential Provider. Další informace najdete v následujících příkladech: dotnet, NuGet.exe. Pokud chcete publikovat balíčky pomocí Azure Pipelines, použijte úlohu Ověření NuGet k ověření v příkladu informačního kanálu.

Otázka: Proč můj pat přestal fungovat?

A: Ověřování PAT vyžaduje, abyste se pravidelně přihlásili k Azure DevOps pomocí úplného toku ověřování. Přihlášení jednou za 30 dní stačí pro mnoho uživatelů, ale v závislosti na konfiguraci Microsoft Entra se možná budete muset přihlásit častěji. Pokud váš pat přestane fungovat, zkuste se nejdřív přihlásit do vaší organizace a dokončit úplnou výzvu k ověření. Pokud váš token PAT stále nefunguje, zkontrolujte, jestli vypršela jeho platnost.

Některé známé důvody, proč PAT mohou selhávat:

Otázka: Návody vytvořit přístupové klíče, které nejsou svázané s konkrétní osobou pro účely nasazení?

A: V Azure DevOps můžete vytvořit přístupové klíče, které nejsou svázané s konkrétní osobou pomocí instančních objektů nebo správy identit. Další informace najdete v tématu Správa připojení služeb, použití tajných kódů služby Azure Key Vault v Azure Pipelines.

::: moniker-end