Persoonlijke toegangstokens gebruiken
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Een persoonlijk toegangstoken (PAT) fungeert als een alternatief wachtwoord voor verificatie in Azure DevOps. Deze PAT identificeert u en bepaalt uw toegankelijkheid en toegangsbereik. Daarom moet u PAT's met hetzelfde waarschuwingsniveau behandelen als wachtwoorden.
Belangrijk
We raden u aan Microsoft Entra-tokenste gebruiken. Zie onze blogvoor meer informatie over onze inspanningen om het PAT-gebruik te verminderen. Bekijk onze verificatierichtlijnen om het juiste verificatiemechanisme voor uw behoeften te kiezen.
Wanneer u Microsoft-hulpprogramma's gebruikt, wordt uw Microsoft-account (MSA) of Microsoft Entra-id herkend en ondersteund. Als u hulpprogramma's gebruikt die geen ondersteuning bieden voor Microsoft Entra-accounts of uw primaire referenties niet wilt delen, kunnen PAT's een geschikt alternatief zijn. We raden u echter aan om waar mogelijk de Microsoft Entra-tokens te gebruiken in plaats van PAT's.
U kunt PAT's beheren via de volgende methoden:
- Gebruikersinterface (UI): Via gebruikersinstellingen, zoals beschreven in dit artikel.
- PAT Lifecycle Management API's
- Git-referentiebeheerders voor Git-bewerkingen. Referentiebeheerders faciliteren tokenbeheer. Zonder één moeten gebruikers hun referenties elke keer invoeren.
Vereisten
-
Machtigingen:
- U hebt toestemming om uw gebruikersinstellingen te openen en te wijzigen waar PAW's worden beheerd.
-
Controleer de machtigingen: Voer een van de volgende processen uit in Azure DevOps om uw machtigingen te controleren:
- Ga naar uw profiel en selecteer Persoonlijke toegangstokens voor gebruikersinstellingen>. Als u hier uw PAW's kunt zien en beheren, hebt u de benodigde machtigingen.
- Ga naar uw project en selecteer Machtigingen voor Project-instellingen Zoek uw gebruikersaccount in de lijst en controleer de machtigingen die aan u zijn toegewezen. Zoek naar machtigingen met betrekking tot het beheren van tokens of gebruikersinstellingen.
-
Controleer de machtigingen: Voer een van de volgende processen uit in Azure DevOps om uw machtigingen te controleren:
- Als uw organisatie beleid heeft ingesteld, moet een Azure DevOps-beheerder u mogelijk specifieke machtigingen verlenen of u toevoegen aan een acceptatielijst om PAT's te maken en te beheren.
- PAT's zijn verbonden met het gebruikersaccount dat het token heeft uitgegeven. Afhankelijk van de taken die door de PAT worden uitgevoerd, hebt u mogelijk zelf meer machtigingen nodig.
- U hebt toestemming om uw gebruikersinstellingen te openen en te wijzigen waar PAW's worden beheerd.
- Toegangsniveaus: minimaal Basistoegang hebben.
- Aanbevolen procedures voor beveiliging: maak uzelf vertrouwd met de beste beveiligingspraktijken voor het beheren van PAT's. Gebruik ze alleen indien nodig en draai ze altijd regelmatig.
Een PAT maken
Meld u aan bij uw organisatie (
https://dev.azure.com/{Your_Organization}
).Open op de startpagina de gebruikersinstellingen en selecteer Persoonlijke toegangstokens.
Selecteer + Nieuw token.
Geef uw token een naam, selecteer de organisatie waar u het token wilt gebruiken en stel vervolgens uw token in op automatisch verlopen na een bepaald aantal dagen.
Selecteer de bereiken voor dit token om uw specifieke taken te autoriseren.
Als u bijvoorbeeld een token wilt maken voor een build- en releaseagent voor verificatie bij Azure DevOps, stelt u het bereik van het token in op Agentpools (lezen en beheren). Als u auditlogboekgebeurtenissen wilt lezen en streams wilt beheren of verwijderen, selecteert u Auditlogboek lezen en selecteert u Vervolgens Maken.
Notitie
Mogelijk bent u beperkt tot het maken van VOLLEDIGE PAW's. Als dat zo is, heeft uw Azure DevOps-beheerder in Microsoft Entra ID een beleid ingeschakeld dat u beperkt tot een specifieke, aangepast gedefinieerde reeks van bevoegdheden. Zie PAT's beheren met beleidsregels/Het maken van volledige PAT's beperken voor meer informatie. Voor een aangepast gedefinieerde PAT kan het vereiste bereik voor toegang tot de COMPONENT Governance-API
vso.governance
niet worden geselecteerd in de gebruikersinterface.Wanneer u klaar bent, kopieert u het token en slaat u het op een veilige locatie op. Voor uw beveiliging wordt deze niet opnieuw weergegeven.
Gebruik uw PAT overal waar uw gebruikersreferenties zijn vereist voor verificatie in Azure DevOps.
Belangrijk
- Behandel een PAT met dezelfde voorzichtigheid als uw wachtwoord en bewaar deze vertrouwelijk.
- Meld u binnen 90 dagen aan met uw nieuwe PAT voor organisaties die worden ondersteund door Microsoft Entra ID; anders wordt de PAT inactief. Zie De aanmeldingsfrequentie van gebruikers voor voorwaardelijke toegang voor meer informatie.
Meldingen
Tijdens de levensduur van een PAT ontvangen gebruikers twee meldingen: de eerste op het moment van maken en de tweede zeven dagen vóór de vervaldatum.
Nadat u een PAT hebt gemaakt, ontvangt u een melding die vergelijkbaar is met het volgende voorbeeld. Deze melding fungeert als bevestiging dat uw PAT is toegevoegd aan uw organisatie.
In de volgende afbeelding ziet u een voorbeeld van de melding van zeven dagen voordat uw PAT verloopt.
Zie Een SMTP-server configureren en e-mail aanpassen voor waarschuwingen en feedbackaanvragen voor meer informatie.
Onverwachte melding
Als u een onverwachte PAT-melding ontvangt, kan dit betekenen dat een beheerder of hulpprogramma een PAT voor u heeft gemaakt. Hier volgen enkele voorbeelden:
- Een token met de naam 'git:
https://dev.azure.com/{Your_Organization}
on YourMachine' wordt gemaakt wanneer u via git.exe verbinding maakt met een Azure DevOps Git-opslagplaats. - Een token met de naam 'Service Hooks: Azure App Service: Web-app implementeren' wordt gemaakt wanneer u of een beheerder een Azure App Service-web-app-implementatie instelt.
- Een token met de naam WebAppLoadTestCDIntToken wordt aangemaakt wanneer webloadtesten wordt ingesteld als onderdeel van een pijplijn door uw beheerder of u.
- Er wordt een token met de naam 'Microsoft Teams Integration' gemaakt wanneer een Microsoft Teams Integration Messaging-extensie wordt ingesteld.
Waarschuwing
- de PAT- intrekken (en uw wachtwoord wijzigen) als u vermoedt dat deze fout optreedt.
- Neem contact op met uw beheerder als u een Microsoft Entra-gebruiker bent om te zien of een onbekende bron of locatie toegang heeft tot uw organisatie.
- Bekijk de veelgestelde vragen over onbedoelde PAT-check-ins naar openbare GitHub-opslagplaatsen.
Een PAT gebruiken
Uw PAT fungeert als uw digitale identiteit, net als een wachtwoord. U kunt PAW's gebruiken als een snelle manier om eenmalige aanvragen uit te voeren of een toepassing lokaal te prototypen.
Belangrijk
Wanneer uw code werkt, is het een goed moment om over te schakelen van basisverificatie naar Microsoft Entra OAuth-. U kunt Microsoft Entra ID-tokens overal gebruiken waar een PAT wordt gebruikt, tenzij anders vermeld in dit artikel.
U kunt een PAT in uw code gebruiken om REST API's te verifiëren aanvragen en werkstromen te automatiseren. Neem hiervoor de PAT op in de autorisatieheader van uw HTTP-aanvragen.
Als u de PAT via een HTTP-header wilt opgeven, moet u deze eerst converteren naar een Base64
tekenreeks. In het volgende voorbeeld ziet u hoe u converteert naar Base64
C#.
Authorization: Basic BASE64_USERNAME_PAT_STRING
De resulterende tekenreeks kan vervolgens worden opgegeven als een HTTP-header in de volgende indeling.
In het volgende voorbeeld wordt de HttpClient-klasse in C# gebruikt.
public static async void GetBuilds()
{
try
{
var personalaccesstoken = "PATFROMWEB";
using (HttpClient client = new HttpClient())
{
client.DefaultRequestHeaders.Accept.Add(
new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
Convert.ToBase64String(
System.Text.ASCIIEncoding.ASCII.GetBytes(
string.Format("{0}:{1}", "", personalaccesstoken))));
using (HttpResponseMessage response = client.GetAsync(
"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
{
response.EnsureSuccessStatusCode();
string responseBody = await response.Content.ReadAsStringAsync();
Console.WriteLine(responseBody);
}
}
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
}
Tip
Wanneer u variabelen gebruikt, voegt u een $
aan het begin van de tekenreeks toe, zoals in het volgende voorbeeld.
public static async void GetBuilds()
{
try
{
var personalaccesstoken = "PATFROMWEB";
using (HttpClient client = new HttpClient())
{
client.DefaultRequestHeaders.Accept.Add(
new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
Convert.ToBase64String(
System.Text.ASCIIEncoding.ASCII.GetBytes(
string.Format("{0}:{1}", "", personalaccesstoken))));
using (HttpResponseMessage response = client.GetAsync(
$"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
{
response.EnsureSuccessStatusCode();
string responseBody = await response.Content.ReadAsStringAsync();
Console.WriteLine(responseBody);
}
}
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
}
Meer voorbeelden van het gebruik van PAT's vindt u in de volgende artikelen:
- Authenticeren bij uw Git-opslagplaatsen
- Git-referentiebeheerders (GCM) instellen om verbinding te maken met Git-opslagplaatsen
- NuGet gebruiken op een Mac
- Rapportageclients verifiëren
- Aan de slag met Azure DevOps CLI
Een PAT wijzigen
Ga als volgt te werk om:
- Genereer een PAT opnieuw om een nieuw token te maken, waardoor het vorige token ongeldig is.
- Verleng een PAT om de geldigheidsperiode te verhogen.
- Wijzig het bereik van een PAT om de machtigingen te wijzigen.
Open uw gebruikersinstellingen op de startpagina en selecteer Profiel.
Selecteer persoonlijke toegangstokens onder Beveiliging. Selecteer het token dat u wilt wijzigen en klik vervolgens op Bewerken.
Bewerk de naam van het token, de verlooptijd van het token of het toegangsbereik dat is gekoppeld aan het token en selecteer Opslaan.
Een PAT intrekken
U kunt een PAT op elk gewenst moment intrekken om deze en andere redenen:
- Een PAT intrekken als u vermoedt dat deze is gecompromitteerd.
- Een PAT intrekken wanneer deze niet meer nodig is.
- Een PAT intrekken om beveiligingsbeleid of nalevingsvereisten af te dwingen.
Open uw gebruikersinstellingen op de startpagina en selecteer Profiel.
Selecteer persoonlijke toegangstokens onder Beveiliging. Selecteer het token waarvoor u de toegang wilt intrekken en selecteer Vervolgens Intrekken.
Selecteer Intrekken in het bevestigingsvenster.
Zie PAW's voor gebruikers intrekken voor beheerders voor meer informatie.
Wijzigingen in opmaak
Vanaf juli 2024 hebben we de indeling van PAW's die zijn uitgegeven door Azure DevOps aanzienlijk gewijzigd. Deze wijzigingen bieden meer beveiligingsvoordelen en verbeteren van hulpprogramma's voor geheime detectie die beschikbaar zijn via onze gelekte PAT-detectiehulpprogramma's of partneraanbiedingen. Deze nieuwe PAT-indeling volgt de aanbevolen indeling voor alle Microsoft-producten. De opname van meer identificeerbare bits verbetert de fout-positieve detectiesnelheid van deze hulpprogramma's voor geheime detectie en stelt ons in staat om gedetecteerde lekken sneller te beperken.
Belangrijke wijzigingen:
- Verhoogde tokenlengte: de nieuwe tokens zijn nu 84 tekens lang, met 52 tekens die willekeurige gegevens bevatten. Deze verhoogde lengte verbetert de algehele entropie, waardoor de tokens beter bestand zijn tegen mogelijke beveiligingsaanvallen.
-
Vaste handtekening: Tokens die door onze service worden uitgegeven, bevatten een vaste
AZDO
handtekening op posities 76-80.
Actie vereist:
- Bestaande PAW's opnieuw genereren: we raden u ten zeerste aan alle PAT's die momenteel in gebruik zijn, opnieuw te genereren om te profiteren van deze beveiligingsverbeteringen.
- Integrator-ondersteuning: Integrators moeten hun systemen bijwerken om zowel de nieuwe als de bestaande tokenlengten aan te kunnen.
Belangrijk
Beide indelingen blijven geldig voor de nabije toekomst, maar we moedigen klanten actief aan om over te stappen op de nieuwe indeling van 84 tekens. Naarmate de acceptatie van de nieuwe indeling toeneemt, kunt u overwegen om de oudere indeling van 52 tekens en alle tokens die in die stijl zijn uitgegeven, buiten gebruik te stellen.
Aanbevolen procedures voor het gebruik van PAT's
Alternatieven overwegen
- Een Microsoft Entra-token verkrijgen via Azure CLI- voor ad-hocaanvragen die één uur duren in plaats van een langerlevende PAT te gebruiken.
- Gebruik referentiebeheerders zoals Git Credential Manager- of Azure Artifacts Credential Manager voor vereenvoudiging van referentiebeheer. Deze hulpprogramma's bieden mogelijk opties om Microsoft Entra-tokens te te gebruiken als standaardverificatie in plaats van PAT's.
PATs maken
- Vermijd het plaatsen van persoonlijke gegevens in de PAT-naam. Hernoem de PAT-tokenreeks niet naar de naam van uw token.
- Selecteer alleen de organisatie die uw PAT nodig heeft om toegang te krijgen als deze geen toegang nodig heeft tot meerdere organisaties. Voor werkstromen die toegang tot meerdere organisaties vereisen, maakt u een afzonderlijke globale PAT voor die werkstroom.
- Kies alleen de benodigde bereiken voor elke PAT. Maak indien mogelijk meerdere PAT's voor elke werkstroom met minder toegangsrechten in plaats van één volledig afgedekte PAT. Als uw PAT alleen leesmachtigingen nodig heeft, geef dan pas schrijfmachtigingen op als dat nodig is.
- Houd de levensduur van PAT's kort (wekelijks is ideaal, zelfs korter is beter) en rouleer of regenereer ze regelmatig via de UI of de PAT Lifecycle Management API's.
PATs beheren
- Bewaar uw PAT's altijd in een veilige oplossing voor sleutelbeheer, zoals Azure Key Vault.
- U kunt PAW's intrekken wanneer ze niet meer nodig zijn. Tenantbeheerders kunnen PAT's intrekken voor hun organisatiegebruikers als de PAT is aangetast.
- Draai uw PATs om het nieuwe PAT-formaat te gebruiken voor betere detectie en intrekking van gelekte geheimen met onze eigen tools.
Voor beheerders
Tenantbeheerders kunnen beleidsregels instellen om het maken van globale PAT's, het maken van volledig gescopeerde PAT's en de duur van langlopende PAT's te beperken. Ze kunnen ook beleidsregels inschakelen om gelekte PAT's die zijn gedetecteerd in openbare repositories automatisch in te trekken. Gebruik deze beleidsregels om de beveiliging van uw bedrijf te verbeteren.
Veelgestelde vragen
V: Waarom kan ik een PAT-bereik niet bewerken of opnieuw genereren voor één organisatie?
A: Meld u aan bij de organisatie waarvoor uw PAT geldig is. U kunt al uw PAT's bekijken terwijl u bent aangemeld bij elke organisatie in dezelfde Microsoft Entra ID, maar u kunt alleen tokens die zijn gespecificeerd voor de organisatie bewerken wanneer u bent aangemeld bij de specifieke organisatie.
V: Wat gebeurt er met een PAT als een gebruikersaccount is uitgeschakeld?
A: Wanneer een gebruiker wordt verwijderd uit Azure DevOps, wordt de PAT binnen 1 uur ongeldig. Als uw organisatie is verbonden met Microsoft Entra-id, wordt de PAT ook ongeldig gemaakt in Microsoft Entra-id, omdat deze deel uitmaakt van de gebruiker. U wordt aangeraden de PAT te roteren naar een ander gebruikers- of serviceaccount om services actief te houden.
V: Is er een manier om een PAT te vernieuwen via REST API?
A: Ja, u kunt PAT's vernieuwen, beheren en maken met behulp van onze PAT Lifecycle Management API's.
V: Kan ik PAT's gebruiken met alle Azure DevOps REST API's?
A: Nee. U kunt eenvoudige verificatie gebruiken met de meeste Azure DevOps REST API's, maar organisaties en profielen en de PAT Management Lifecycle API's ondersteunen alleen Microsoft Entra OAuth. Zie PAT's beheren met behulp van de REST API-voor een voorbeeld van het instellen van een Microsoft Entra-app om dergelijke API's aan te roepen.
V: Wat gebeurt er als ik per ongeluk mijn PAT controleer in een openbare opslagplaats op GitHub?
A: Azure DevOps scant op PAW's die zijn ingecheckt in openbare opslagplaatsen op GitHub. Wanneer we een gelekt token vinden, sturen we onmiddellijk een gedetailleerde e-mailmelding naar de eigenaar van het token en registreren we een gebeurtenis in het auditlogboek van uw Azure DevOps-organisatie. Tenzij u het beleid voor het automatisch intrekken van gelekte persoonlijke toegangstokens hebt uitgeschakeld, trekken we de gelekte PAT onmiddellijk in. We raden getroffen gebruikers aan om het probleem te verhelpen door het gelekte token in te roepen en te vervangen door een nieuw token. Zie De gelekte PAW's automatisch intrekken voor meer informatie.
V: Kan ik een persoonlijk toegangstoken gebruiken als ApiKey om NuGet-pakketten te publiceren naar een Azure Artifacts-feed met behulp van de dotnet/nuget.exe-opdrachtregel?
A: Nee. Azure Artifacts biedt geen ondersteuning voor het doorgeven van een PAT als apikey. Wanneer u een lokale ontwikkelomgeving gebruikt, raden we u aan de Azure Artifacts Credential Provider te installeren om te verifiëren met Azure Artifacts. Zie de volgende voorbeelden voor meer informatie: dotnet, NuGet.exe. Als u uw pakketten wilt publiceren met behulp van Azure Pipelines, gebruikt u de NuGet-verificatietaak om te authenticeren met uw feed. Zie voorbeeld.
V: Waarom werkte mijn PAT niet meer?
A: PAT-verificatie vereist dat u zich regelmatig aanmeldt bij Azure DevOps met behulp van de volledige verificatiestroom. Om de 30 dagen aanmelden is voldoende voor veel gebruikers, maar mogelijk moet u zich vaker aanmelden, afhankelijk van uw Microsoft Entra-configuratie. Als uw PAT niet meer werkt, meldt u zich eerst aan bij uw organisatie en voltooit u de volledige verificatieprompt. Als uw PAT nog steeds niet werkt, controleert u of deze is verlopen.
Als u IIS-basisverificatie inschakelt, wordt ongeldig gebruikgemaakt van PAT's voor Azure DevOps Server. Zie IiS-basisverificatie gebruiken met on-premises Azure DevOps-voor meer informatie.
V: Hoe kan ik toegangssleutels maken die niet zijn gekoppeld aan een specifieke persoon voor implementatiedoeleinden?
A: In Azure DevOps kunt u toegangssleutels maken die niet zijn gekoppeld aan een specifieke persoon met behulp van service-principals of beheerde identiteiten. Zie Serviceverbindingen beheren en Azure Key Vault-geheimen gebruiken in Azure Pipelinesvoor meer informatie.
Verwante artikelen:
- Beleid gebruiken voor het beheren van persoonlijke toegangstokens voor gebruikers
- GEBRUIKERS-PAT's intrekken (voor beheerders)
- Meer informatie over beveiliging, verificatie en autorisatie
- Standaardmachtigingen en toegang voor Azure DevOps controleren
- Persoonlijke toegangstokens (PAT's) beheren met behulp van REST API-
- Service-principals en beheerde identiteiten beheren in Azure DevOps