Udostępnij za pośrednictwem

Odwoływanie osobistych tokenów dostępu dla użytkowników organizacji

  • Artykuł

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Jeśli osobisty token dostępu (PAT) zostanie naruszony, kluczowe znaczenie ma szybkie działanie. Administratorzy mogą odwołać identyfikator DOSTĘPU użytkownika w celu ochrony organizacji. Wyłączenie konta użytkownika również odwołuje swój pat.

Dlaczego warto odwołać pats użytkowników?

Odwołowanie paT użytkowników jest niezbędne z następujących powodów:

  • Naruszony token: zapobiegaj nieautoryzowanemu dostępowi w przypadku naruszenia zabezpieczeń tokenu.
  • Użytkownik opuszcza organizację: upewnij się, że byli pracownicy nie mają już dostępu.
  • Zmiany uprawnień: Unieważnij tokeny odzwierciedlające stare uprawnienia.
  • Naruszenie zabezpieczeń: ograniczanie nieautoryzowanego dostępu podczas naruszenia zabezpieczeń.
  • Regularne praktyki zabezpieczeń: Regularnie odwoływanie i ponowne tworzenie tokenów w ramach zasad zabezpieczeń.

Wymagania wstępne

Uprawnienia: być członkiem grupy Administratorzy kolekcji projektów. Właściciele organizacji są automatycznie członkami tej grupy.

Napiwek

Aby utworzyć lub odwołać własne elementy PAT, zobacz Tworzenie lub odwoływanie paT.

Odwoływanie paT

  1. Aby odwołać autoryzacje protokołu OAuth, w tym paTs, dla użytkowników organizacji, zobacz Odwołania tokenów — odwoływanie autoryzacji.
  2. Aby zautomatyzować wywoływanie interfejsu API REST, użyj tego skryptu programu PowerShell, który przekazuje listę głównych nazw użytkowników (UPN). Jeśli nie znasz nazwy UPN użytkownika, który utworzył pat, użyj tego skryptu z określonym zakresem dat.

Uwaga

W przypadku używania zakresu dat wszystkie tokeny internetowe JSON (JWTs) również zostaną odwołane. Wszystkie narzędzia, które opierają się na tych tokenach, nie będą działać do czasu odświeżenia przy użyciu nowych tokenów.

  1. Po pomyślnym odwołaniu odpowiednich punktów dostępu użytkowników poinformuj użytkowników. W razie potrzeby mogą odtworzyć swoje tokeny.

Może wystąpić opóźnienie do jednej godziny, zanim pat stanie się nieaktywny, ponieważ ten okres opóźnienia będzie się powtarzać, dopóki operacja wyłączenia lub usunięcia nie zostanie w pełni przetworzona w identyfikatorze Entra firmy Microsoft.

Wygaśnięcie tokenu FedAuth

Token FedAuth jest wystawiany podczas logowania. Jest to ważne dla siedmiodniowego okna przesuwnego. Wygaśnięcie automatycznie wydłuża kolejne siedem dni za każdym razem, gdy odświeżysz je w oknie przewijania. Jeśli użytkownicy regularnie uzyskują dostęp do usługi, wymagane jest tylko początkowe logowanie. Po upływie okresu braku aktywności przez siedem dni token staje się nieprawidłowy i użytkownik musi zalogować się ponownie.

Wygaśnięcie patu

Użytkownicy mogą wybrać datę wygaśnięcia dla swojego tokenu dostępu, a nie przekroczyć jednego roku. Zalecamy używanie krótszych okresów i generowanie nowych paT po wygaśnięciu. Użytkownicy otrzymują wiadomość e-mail z powiadomieniem tydzień przed wygaśnięciem tokenu. Użytkownicy mogą wygenerować nowy token, przedłużyć wygaśnięcie istniejącego tokenu lub w razie potrzeby zmienić zakres istniejącego tokenu.

Dzienniki inspekcji

Jeśli Twoja organizacja jest połączona z identyfikatorem Entra firmy Microsoft, masz dostęp do dzienników inspekcji, które śledzą różne zdarzenia, w tym zmiany uprawnień, usunięte zasoby i dostęp do dzienników. Te dzienniki inspekcji są przydatne do sprawdzania odwołań lub badania wszelkich działań. Aby uzyskać więcej informacji, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji).

Często zadawane pytania (FAQ)

.: Co się stanie z patem dostępu, jeśli użytkownik opuści firmę?

1: Gdy użytkownik zostanie usunięty z identyfikatora Entra firmy Microsoft, tokeny PATs i FedAuth unieważniają się w ciągu godziny, ponieważ token odświeżania jest ważny tylko przez jedną godzinę.

.: Czy należy odwołać tokeny internetowe JSON (JWTs)?

1: Jeśli masz JWTs, które uważasz za odwołane, zalecamy wykonanie tej czynności szybko. Odwołaj JWTs wydane w ramach przepływu OAuth przy użyciu skryptu programu PowerShell. Pamiętaj, aby użyć opcji zakresu dat w skrypecie.