Usare i token di accesso personale

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Un token di accesso personale funge da password alternativa per l'autenticazione in Azure DevOps. Questo token di accesso personale identifica l'utente e determina l'accessibilità e l'ambito di accesso. Di conseguenza, trattare le PTE con lo stesso livello di cautela delle password.

Quando si usano gli strumenti Microsoft, l'account Microsoft (MSA) o l'ID Microsoft Entra è un metodo riconosciuto e supportato. Se si utilizzano strumenti che non supportano gli account Microsoft Entra o se non si desidera condividere le proprie credenziali primarie con questi strumenti, i token di accesso personale possono essere un'alternativa adatta. In caso contrario, è consigliabile utilizzare i token di Microsoft Entra anziché i token di accesso personale (PAT) ogni volta possibile.

Suggerimento

È consigliabile esaminare le linee guida per l'autenticazione per scegliere il meccanismo di autenticazione appropriato per le proprie esigenze. Questa pagina nella documentazione offre alcune indicazioni sugli scenari PAT comuni che potrebbero essere gestiti meglio dai token Micrsoft Entra.

È possibile gestire i criteri di accesso tramite i metodi seguenti:You can manage PAT through the following methods:

• Interfaccia utente (UI): Tramite impostazioni dell'utente, come descritto in questo articolo.
• API di gestione del ciclo di vita PAT
• i gestori delle credenziali di Git per le operazioni di Git. I gestori delle credenziali facilitano la gestione dei token. Senza uno, gli utenti devono immettere le credenziali ogni volta.

Prerequisiti

• Autorizzazioni:
  • Disporre dell'autorizzazione per accedere e modificare le impostazioni utente in cui vengono gestite le reti AFC.
    • Controllare le autorizzazioni: per controllare le autorizzazioni, eseguire uno dei processi seguenti in Azure DevOps:
      • Passare al profilo e selezionare Impostazioni utente>Token di accesso personali. Se è possibile visualizzare e gestire qui i PTS, si dispone delle autorizzazioni necessarie.
      • Passare al progetto e selezionare Autorizzazioni per le impostazioni>del progetto. Trovare l'account utente nell'elenco e controllare le autorizzazioni assegnate all'utente. Cercare le autorizzazioni correlate alla gestione dei token o delle impostazioni utente.
  • Se l'organizzazione dispone di criteri, un amministratore di Azure DevOps potrebbe dover concedere autorizzazioni specifiche o aggiungersi a un elenco di elementi consentiti per creare e gestire le api.
  • I PAT sono connessi all'account utente che ha generato il token. A seconda delle attività eseguite dal PAT, potrebbe essere necessario disporre di più permessi.
• Livelli di accesso: avere almeno l'accesso di base.
• Procedure consigliate per la sicurezza: Acquisire familiarità con le procedure consigliate per la sicurezza per la gestione dei PAT. Usarli solo quando necessario e ruotarli sempre regolarmente.

Creare un token di accesso personale

1. Accedere all'organizzazione (https://dev.azure.com/{Your_Organization}).

2. Dalla home page, aprire le impostazioni utente e selezionare Token di accesso personale.

   

3. Selezionare + Nuovo token.

   

4. Assegnare un nome al token, selezionare l'organizzazione in cui si vuole usare il token e quindi impostare il token per scadere automaticamente dopo un numero di giorni impostato.

   

5. Selezionare gli ambiti per questo token da autorizzare per le attività specifiche.

   Ad esempio, per creare un token per un agente di compilazione e versione per l'autenticazione in Azure DevOps, impostare l'ambito del token su Pool di agenti (Lettura e gestione). Per leggere gli eventi del log di controllo e gestire o eliminare flussi, selezionare Leggi log di controllo e quindi selezionare Crea.

   

   Nota

   È possibile che sia possibile limitare la creazione di PT con ambito completo. In tal caso, l'amministratore di Azure DevOps in Microsoft Entra ID ha abilitato un criterio che limita l'utente a un set di ambiti personalizzato specifico. Per altre informazioni, vedere Gestire le api con criteri/Limitare la creazione di PT con ambito completo. Per un token di accesso personale personalizzato, l'ambito necessario per l'accesso all'API di governance dei componenti, vso.governance, non è selezionabile nell'interfaccia utente.

6. Al termine, copiare il token e archiviarlo in una posizione sicura. Per la sicurezza, non viene visualizzata di nuovo.

   

Usare il token di accesso personale ovunque siano necessarie le credenziali utente per l'autenticazione in Azure DevOps.

Importante

• Considerare un pat con la stessa cautela della password e mantenerlo riservato.
• Accedere con il nuovo PAT entro 90 giorni per le organizzazioni supportate da Microsoft Entra ID; in caso contrario, il pat diventa inattivo. Per altre informazioni, vedere Frequenza di accesso utente per l'accesso condizionale.

Notifications

Durante la durata di un pat, gli utenti ricevono due notifiche: la prima al momento della creazione e la seconda sette giorni prima della scadenza.

Dopo aver creato un pat, si riceve una notifica simile all'esempio seguente. Questa notifica viene usata per confermare che il pat personale è stato aggiunto correttamente all'organizzazione.

L'immagine seguente mostra un esempio della notifica di sette giorni prima della scadenza del pat.

Notifica imprevista

Se viene visualizzata una notifica pat imprevista, potrebbe significare che un amministratore o uno strumento ha creato automaticamente un pat. Di seguito sono riportati alcuni esempi.

• Un token denominato "git: https://dev.azure.com/{Your_Organization} on YourMachine" viene creato quando ci si connette a un repository Git di Azure DevOps tramite git.exe.
• Un token denominato "Service Hooks: : app Azure Service: : Deploy Web app" viene creato quando l'utente o un amministratore configura una distribuzione di app Web del servizio app Azure.
• Un token denominato "WebAppLoadTestCDIntToken" viene creato quando il test di carico Web viene configurato come parte di una pipeline da parte dell'utente o di un amministratore.
• Un token denominato "Integrazione di Microsoft Teams" viene creato quando viene configurata un'estensione di messaggistica di integrazione di Microsoft Teams.

Avviso

• Revocare il pat se si sospetta che esista in caso di errore. Seguire la procedura per revocare il token di accesso personale e modificare la password.
• Rivolgersi all'amministratore se si è un utente di Microsoft Entra per verificare se l'organizzazione è stata accessibile da un'origine o da una posizione sconosciuta.
• Esaminare le domande frequenti sulle archiviazioni accidentali pat nei repository GitHub pubblici.

Usare un token di accesso personale

Il pat viene usato come identità digitale, in modo analogo a una password. È possibile usare i PT come modo rapido per eseguire richieste occasionali o creare un prototipo di un'applicazione in locale.

Importante

Quando il codice funziona, è consigliabile passare dall'autenticazione di base a Microsoft Entra OAuth. I token Microsoft Entra possono essere usati ovunque venga usato un pat, a meno che non sia specificato di seguito.

È possibile utilizzare un PAT nel codice per autenticare le richieste API REST e automatizzare i flussi di lavoro. A tale scopo, includere il pat nell'intestazione di autorizzazione delle richieste HTTP.

Windows

Per fornire il pat tramite un'intestazione HTTP, convertirlo prima in una Base64 stringa. L'esempio seguente illustra come eseguire la conversione in Base64 usando C#.

Authorization: Basic BASE64_USERNAME_PAT_STRING

La stringa risultante può quindi essere fornita come intestazione HTTP nel formato seguente.

L'esempio seguente usa la classe HttpClient in C#.

public static async void GetBuilds()
{
    try
    {
        var personalaccesstoken = "PATFROMWEB";

        using (HttpClient client = new HttpClient())
        {
            client.DefaultRequestHeaders.Accept.Add(
                new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

            client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
                Convert.ToBase64String(
                    System.Text.ASCIIEncoding.ASCII.GetBytes(
                        string.Format("{0}:{1}", "", personalaccesstoken))));

            using (HttpResponseMessage response = client.GetAsync(
                        "https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
            {
                response.EnsureSuccessStatusCode();
                string responseBody = await response.Content.ReadAsStringAsync();
                Console.WriteLine(responseBody);
            }
        }
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex.ToString());
    }
}

Suggerimento

Quando si usano variabili, aggiungere un oggetto $ all'inizio della stringa, come nell'esempio seguente.

public static async void GetBuilds()
{
   try
  {
      var personalaccesstoken = "PATFROMWEB";

      using (HttpClient client = new HttpClient())
       {
           client.DefaultRequestHeaders.Accept.Add(
              new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

           client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
               Convert.ToBase64String(
                   System.Text.ASCIIEncoding.ASCII.GetBytes(
                       string.Format("{0}:{1}", "", personalaccesstoken))));

          using (HttpResponseMessage response = client.GetAsync(
                       $"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
           {
               response.EnsureSuccessStatusCode();
               string responseBody = await response.Content.ReadAsStringAsync();
               Console.WriteLine(responseBody);
           }
       }
   }
   catch (Exception ex)
   {
       Console.WriteLine(ex.ToString());
   }
}

Linux/macOS

L'esempio seguente ottiene un elenco di compilazioni usando curl.

curl -u :{PAT} https://dev.azure.com/{organization}/_apis/build-release/builds

Altri esempi su come utilizzare i token di accesso personale possono essere trovati nei seguenti articoli:

• Eseguire l'autenticazione con i repository Git
• Configurare i gestori delle credenziali Git (GCM) per connettersi ai repository Git
• Usare NuGet in un Mac
• Autenticare i client di creazione report
• Introduzione all'interfaccia della riga di comando di Azure DevOps

Modificare un token di accesso personale

Eseguire la procedura seguente per:

• Rigenerare un pat per creare un nuovo token, che invalida quello precedente.
• Estendere un pat per aumentare il periodo di validità.
• Modificare l'ambito di un token di accesso personale per modificarne le autorizzazioni.

1. Nella home page aprire le impostazioni utente e quindi selezionare Profilo.

   

2. In Sicurezza selezionare Token di accesso personali. Selezionare il token da modificare e quindi Modifica.

   

3. Modificare il nome del token, la scadenza del token o l'ambito di accesso associato al token e quindi selezionare Salva.

   

Revocare un token di accesso personale

È possibile revocare un pat in qualsiasi momento per questi e altri motivi:

• Revocare un pat se si sospetta che sia compromesso.
• Revocare un token di accesso personale quando non è più necessario.
• Revocare un token di accesso personale per applicare i criteri di sicurezza o i requisiti di conformità.

1. Nella home page aprire le impostazioni utente e quindi selezionare Profilo.

   

2. In Sicurezza selezionare Token di accesso personali. Selezionare il token per il quale si vuole revocare l'accesso e quindi selezionare Revoca.

   

3. Selezionare Revoca nella finestra di dialogo di conferma.

   

Per altre informazioni, vedere Revoke user PAT for admins .For more information, see Revoke user PAT for admins.

Modifiche al formato

A partire da luglio 2024, è stato modificato in modo significativo il formato delle api rilasciate da Azure DevOps. Queste modifiche offrono maggiori vantaggi per la sicurezza e migliorano gli strumenti di rilevamento dei segreti disponibili tramite gli strumenti di rilevamento PAT persi o offerte partner. Questo nuovo formato PAT segue il formato consigliato in tutti i prodotti Microsoft. L'inclusione di bit più identificabili migliora la frequenza di rilevamento dei falsi positivi di questi strumenti di rilevamento dei segreti e consente di ridurre le perdite rilevate più velocemente.

Modifiche chiave:

• Maggiore lunghezza del token: i nuovi token sono ora lunghi 84 caratteri, con 52 caratteri di dati casuali. Questa maggiore lunghezza migliora l'entropia complessiva, rendendo i token più resistenti ai potenziali attacchi di forza bruta.
• Firma fissa: i token emessi dal servizio includono una firma fissa AZDO nelle posizioni 76-80.

Azione necessaria:

• Rigenerare le reti PAT esistenti: è consigliabile rigenerare tutti i PT attualmente in uso per sfruttare i vantaggi di questi miglioramenti della sicurezza.
• Supporto dell'integratore: gli integratori devono aggiornare i sistemi in modo che supportino sia la lunghezza dei token nuovi che esistenti.

Importante

Entrambi i formati rimangono validi per il prossimo futuro, ma incoraggiamo attivamente i clienti a passare al nuovo formato di 84 caratteri. Con l'adozione del nuovo formato, è consigliabile ritirare il formato di 52 caratteri precedente e tutti i token rilasciati in tale stile.

Procedure migliori consigliate per PAT

Prendere in considerazione le alternative

• Per le richieste ad hoc, acquisire un token Entra tramite l'interfaccia della riga di comando di Azure che dura un'ora invece di generare un PAT di lunga durata.
• Usare gli strumenti di gestione delle credenziali, ad esempio git Credential Manager o Azure Artifacts Credential Manager, quando possibile per semplificare la gestione delle credenziali. Questi strumenti possono avere opzioni per usare i token di Microsoft Entra come autenticazione predefinita invece dei token PAT.

Creazione di TAP

• Quando si crea un PAT, non inserire informazioni personali identificabili (PII) nel nome del PAT. Non rinominare la stringa del token PAT con il nome del token.
• Se il tuo token di accesso personale non deve accedere a più organizzazioni, scegli solo l'organizzazione a cui deve accedere. Se hai un flusso di lavoro che richiede un PAT per accedere a più organizzazioni, crea un PAT globale separato esclusivamente per quel flusso di lavoro.
• Scegliere solo gli ambiti necessari per ogni PAT. Se possibile, creare più PAT per ogni flusso di lavoro con un minor numero di ambiti rispetto a un singolo pat con ambito completo. Se il tuo token di accesso personale necessita solo di autorizzazioni di lettura, non concedere autorizzazioni di scrittura fino a quando non è necessario.
• Mantenere breve la durata dei PAT (settimanale è ideale, meglio se ancora più breve) e ruotarli o rigenerarli regolarmente. Esegui questa operazione tramite l'interfaccia utente o le API di gestione del ciclo di vita PAT .

Gestione di PAT

• conserva sempre i tuoi PATs in una soluzione di gestione delle chiavi sicura, come ad esempio Azure KeyVault.
• Revocare i PAT quando non sono più necessari. Gli amministratori tenant possono revocare i token di accesso alle app per gli utenti dell'organizzazione se il token di accesso personale è compromesso.
• Ruotare i propri PAT per utilizzare il nuovo formato PAT per un migliore rilevamento e la revoca dei segreti trapelati dai nostri strumenti proprietari.

Per amministratori

• Gli amministratori tenant possono impostare criteri per limitare la creazione globale dei PAT, la creazione di PAT interamente definiti nell'ambito e la durata a lungo termine dei PAT. Possono anche abilitare i criteri per revocare automaticamente i PAT trapelati rilevati nei repository pubblici. Usare questi criteri per migliorare la sicurezza dell'azienda.

Domande frequenti

D: Perché non è possibile modificare o rigenerare un pat con ambito a una singola organizzazione?

R: Assicurarsi di aver eseguito l'accesso all'organizzazione con ambito pat. È possibile visualizzare tutti i token PAT durante l'accesso a qualsiasi organizzazione nello stesso ID Di Microsoft Entra, ma è possibile modificare solo i token con ambito organizzazione quando si è connessi all'organizzazione a cui è stato eseguito l'ambito.

D: Cosa accade a un pat se un account utente è disabilitato?

R: Quando un utente viene rimosso da Azure DevOps, il pat invalida entro 1 ora. Se l'organizzazione è connessa all'ID Microsoft Entra, il pat invalida anche nell'ID Microsoft Entra, perché appartiene all'utente. È consigliabile ruotare il token di accesso personale a un altro account utente o di servizio per mantenere i servizi in esecuzione.

D: Esiste un modo per rinnovare un pat tramite l'API REST?

R: Sì, c'è un modo per rinnovare, gestire e creare patte usando le API di gestione del ciclo di vita pat.

D: Posso usare i PAT con tutte le API REST di Azure DevOps?

R: No. È possibile usare l'autenticazione di base con la maggior parte delle API REST di Azure DevOps, ma organizzazioni e profili e le API del ciclo di vita di gestione pat ) supportano solo Microsoft Entra OAuth. Per un esempio su come configurare un'app Entra per chiamare tali API, vedere la documentazione sulla gestione dei PATs utilizzando l'API REST.

D: Cosa accade se si verifica accidentalmente il token di accesso personale in un repository pubblico in GitHub?

R: Azure DevOps esegue l'analisi dei PT controllati nei repository pubblici in GitHub. Quando viene rilevato un token persa, viene inviata immediatamente una notifica di posta elettronica dettagliata al proprietario del token e si registra un evento nel log di controllo dell'organizzazione Azure DevOps. A meno che non sia stato disabilitato il criterio Revoca automatica token di accesso personali persi, viene immediatamente revocato il token di accesso personale persa. Si consiglia agli utenti interessati di attenuare il problema revocando il token trapelato e sostituendolo con un nuovo token.

Per altre informazioni, vedere Revocare automaticamente le reti AP perse.For more information, see Revoke leaked PAT automatically.

D: È possibile usare un token di accesso personale come ApiKey per pubblicare pacchetti NuGet in un feed di Azure Artifacts usando la riga di comando dotnet/nuget.exe?

R: No. Azure Artifacts non supporta il passaggio di un token di accesso personale come ApiKey. Quando si usa un ambiente di sviluppo locale, è consigliabile installare il provider di credenziali di Azure Artifacts per l'autenticazione con Azure Artifacts. Per altre informazioni, vedere gli esempi seguenti: dotnet, NuGet.exe. Per pubblicare i pacchetti usando Azure Pipelines, usare l'attività Autenticazione NuGet per eseguire l'autenticazione con l'esempio di feed.

D: Perché il mio PAT smetteva di funzionare?

R: L'autenticazione pat richiede di accedere regolarmente ad Azure DevOps usando il flusso di autenticazione completo. L'accesso una volta ogni 30 giorni è sufficiente per molti utenti, ma potrebbe essere necessario accedere più frequentemente a seconda della configurazione di Microsoft Entra. Se il token di accesso personale smette di funzionare, provare prima di tutto ad accedere all'organizzazione e completare la richiesta di autenticazione completa. Se il pat non funziona ancora, verificare se è scaduto.

Alcuni motivi noti per cui i PAT potrebbero non funzionare:

• L'abilitazione dell'autenticazione di base IIS invalida l'uso di PAT per Azure DevOps Server: vedere Uso dell'autenticazione di base IIS con Azure DevOps on-premises.

D: Ricerca per categorie creare chiavi di accesso non associate a una persona specifica a scopo di distribuzione?

R: In Azure DevOps è possibile creare chiavi di accesso non associate a una persona specifica usando Entità servizio o Gestisci identità. Per altre informazioni, vedere Gestire le connessioni al servizio, Usare i segreti di Azure Key Vault in Azure Pipelines.

::: moniker-end

Articoli correlati

• Informazioni sulla sicurezza, l'autenticazione e l'autorizzazione
• Esaminare le autorizzazioni predefinite e l'accesso per Azure DevOps
• Gestire i token di accesso personale tramite l'API REST
• Revocare le PT utente (per gli amministratori)
• Gestire entità servizio e identità gestite in Azure DevOps
• Usare i criteri per gestire i token di accesso personali per gli utenti