조직 사용자에 대한 개인용 액세스 토큰 해지
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
PAT(개인용 액세스 토큰)가 손상된 경우 신속하게 작업하는 것이 중요합니다. 관리자는 조직의 보호를 위해 사용자의 PAT를 해지할 수 있습니다. 사용자의 계정을 사용하지 않도록 설정하면 PAT도 해지됩니다.
중요하다
Microsoft Entra 토큰 을(를) 사용하는 것을 권장합니다. PAT 사용량을 줄이기 위한 노력에 대한 자세한 내용은 블로그
사용자 PAT를 해지하는 이유는 무엇인가요?
다음과 같은 이유로 사용자 PAT를 해지해야 합니다.
- 손상된 토큰: 토큰이 손상된 경우 무단 액세스를 방지합니다.
- 사용자가 조직을 떠난다: 이전 직원에게 더 이상 액세스할 수 없는지 확인합니다.
- 권한 변경: 이전 사용 권한을 반영하는 토큰을 무효화합니다.
- 보안 위반: 위반 시 무단 액세스를 완화합니다.
- 일반 보안 사례: 보안 정책의 일부로 토큰을 정기적으로 해지 및 재발행합니다.
필수 조건
권한: 프로젝트 컬렉션 관리자 그룹 멤버입니다. 조직 소유자는 자동으로 이 그룹의 구성원입니다.
팁
사용자 고유의 PAT를 만들거나 해지하려면 PAT 만들기 또는 해지를 참조 하세요.
PAT 해지
- 조직의 사용자에 대해 PAT를 포함한 OAuth 권한 부여를 취소하려면 토큰 해지 - 권한 부여 취소를 참조 하세요.
- REST API 호출을 자동화하려면 UPN(사용자 계정 이름) 목록을 전달하는 이 PowerShell 스크립트를 사용합니다. PAT를 만든 사용자의 UPN을 모르는 경우 지정된 날짜 범위에서 이 스크립트를 사용합니다.
참고 항목
날짜 범위를 사용하는 경우 JWT(JSON 웹 토큰)도 해지됩니다. 이러한 토큰을 사용하는 모든 도구는 새 토큰으로 새로 고칠 때까지 작동하지 않습니다.
- 영향을 받는 PAT를 성공적으로 해지한 후 사용자에게 알릴 수 있습니다. 필요에 따라 토큰을 다시 만들 수 있습니다.
이 대기 시간은 Microsoft Entra ID에서 비활성화 또는 삭제 작업이 완전히 처리될 때까지 지속되므로 PAT가 비활성 상태가 되기까지 최대 1시간이 지연될 수 있습니다.
FedAuth 토큰 만료
로그인할 때 FedAuth 토큰이 발급됩니다. 7일 슬라이딩 윈도우에 적합합니다. 만료는 슬라이딩 윈도우 내에서 새로 고칠 때마다 7일 더 자동으로 연장됩니다. 사용자가 정기적으로 서비스에 액세스하는 경우 초기 로그인만 필요합니다. 비활성 기간이 7일로 연장되면 토큰이 유효하지 않고 사용자가 다시 로그인해야 합니다.
PAT 만료
사용자는 1년을 초과하지 않고 PAT의 만료 날짜를 선택할 수 있습니다. 더 짧은 기간을 사용하고 만료 시 새 PAT를 생성하는 것이 좋습니다. 사용자는 토큰이 만료되기 일주일 전에 알림 이메일을 받습니다. 사용자는 새 토큰을 생성하거나, 기존 토큰의 만료를 연장하거나, 필요한 경우 기존 토큰의 범위를 변경할 수 있습니다.
감사 로그
조직이 Microsoft Entra ID에 연결된 경우 권한 변경, 삭제된 리소스 및 로그 액세스를 포함하여 다양한 이벤트를 추적하는 감사 로그에 액세스할 수 있습니다. 이러한 감사 로그는 해지를 확인하거나 활동을 조사하는 데 유용합니다. 자세한 내용은 감사 로그 액세스 , 내보내기 및 필터링을 참조하세요.
FAQ(질문과 대답)
Q: 사용자가 회사를 떠나는 경우 PAT는 어떻게 되나요?
A: 사용자가 Microsoft Entra ID에서 제거되면 새로 고침 토큰이 1시간 동안만 유효하므로 PAT 및 FedAuth 토큰이 1시간 이내에 무효화됩니다.
Q: JWT(JSON 웹 토큰)를 해지해야 하나요?
A: 해지해야 한다고 생각되는 JWT가 있는 경우 즉시 해지하는 것이 좋습니다. PowerShell 스크립트를 사용하여 OAuth 흐름의 일부로 발급된 JWT를 해지합니다. 스크립트에서 날짜 범위 옵션을 사용해야 합니다.