Compartir a través de

Revocar tokens de acceso personal para usuarios de la organización

  • Artículo

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Si un token de acceso personal (PAT) está en peligro, es fundamental actuar rápidamente. Los administradores pueden revocar el PAT de un usuario para proteger la organización. Al deshabilitar la cuenta de un usuario también se revoca su PAT.

¿Por qué revocar los PAT de usuario?

Revocar los PAT de usuario es esencial por los siguientes motivos:

  • Token en peligro: evite el acceso no autorizado si un token está en peligro.
  • El usuario deja la organización: asegúrese de que los antiguos empleados ya no tienen acceso.
  • Cambios de permisos: invalide los tokens que reflejan los permisos antiguos.
  • Vulneración de seguridad: mitigue el acceso no autorizado durante una infracción.
  • Procedimientos de seguridad normales: revoque y vuelva a emitir tokens periódicamente como parte de una directiva de seguridad.

Requisitos previos

Permisos: sea miembro del grupo Administradores de la colección de proyectos. Los propietarios de la organización son miembros automáticamente de este grupo.

Sugerencia

Para crear o revocar sus propias PAT, consulte Creación o revocación de PAT.

Revocar PAT

  1. Para revocar autorizaciones de OAuth, incluidas las PAT, para los usuarios de la organización, consulte Revocación de tokens: revocación de autorizaciones.
  2. Para automatizar la llamada a la API REST, use este script de PowerShell, que pasa una lista de nombres principales de usuario (UPN). Si no conoce el UPN del usuario que creó el PAT, use este script con un intervalo de fechas especificado.

Nota:

Cuando se usa un intervalo de fechas, también se revocan los tokens web JSON (JWT). Las herramientas que se basan en estos tokens no funcionan hasta que se actualicen con nuevos tokens.

  1. Después de revocar correctamente los PAT afectados, informe a los usuarios. Pueden volver a crear sus tokens según sea necesario.

Es posible que haya un retraso de hasta una hora antes de que el PAT quede inactivo, ya que este período de latencia persiste hasta que la operación de deshabilitación o eliminación se procesa completamente en microsoft Entra ID.

Expiración del token de FedAuth

Se emite un token de FedAuth al iniciar sesión. Es válido para una ventana deslizante de siete días. La expiración extiende automáticamente otros siete días cada vez que la actualice dentro de la ventana deslizante. Si los usuarios acceden al servicio con regularidad, solo se necesita un inicio de sesión inicial. Después de un período de inactividad que extiende siete días, el token deja de ser válido y el usuario debe iniciar sesión de nuevo.

Expiración de PAT

Los usuarios pueden elegir una fecha de expiración para su PAT, no superar un año. Se recomienda usar períodos de tiempo más cortos y generar nuevos PAT tras la expiración. Los usuarios reciben un correo electrónico de notificación una semana antes de que expire el token. Los usuarios pueden generar un nuevo token, ampliar la expiración del token existente o cambiar el ámbito del token existente si es necesario.

Registros de auditoría

Si su organización está conectada a Microsoft Entra ID, tiene acceso a los registros de auditoría que realizan un seguimiento de varios eventos, incluidos los cambios de permisos, los recursos eliminados y el acceso al registro. Estos registros de auditoría son valiosos para comprobar las revocaciones o investigar cualquier actividad. Para obtener más información, consulte Acceso, exportación y filtrado de registros de auditoría.

Preguntas más frecuentes (P+F)

P: ¿Qué ocurre con un PAT si un usuario deja mi empresa?

R: Una vez que un usuario se quita del identificador de Microsoft Entra, los tokens PAT y FedAuth invalidan en un plazo de una hora, ya que el token de actualización solo es válido durante una hora.

P: ¿Debo revocar tokens web JSON (JWT)?

R: Si tiene JWT que cree que debe revocarse, se recomienda hacerlo rápidamente. Revoque los JWT emitidos como parte del flujo de OAuth mediante el script de PowerShell. Asegúrese de usar la opción intervalo de fechas en el script.