Отзыв личных маркеров доступа для пользователей организации
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Если скомпрометирован личный маркер доступа (PAT), важно быстро действовать. Администраторы могут отозвать ПАТ пользователя для защиты организации. Отключение учетной записи пользователя также отменяет свой PAT.
Зачем отменять пользовательские PATS?
Отмена pats пользователей является важной по следующим причинам:
- Скомпрометированный маркер: запрет несанкционированного доступа, если маркер скомпрометирован.
- Пользователь покидает организацию: убедитесь, что у бывших сотрудников больше нет доступа.
- Изменения разрешений: недопустимые маркеры, отражающие старые разрешения.
- Нарушение безопасности: устранение несанкционированного доступа во время нарушения.
- Регулярные методики безопасности: регулярно отменять и повторно получать маркеры в рамках политики безопасности.
Необходимые компоненты
Разрешения. Быть членом группы администраторов коллекции проектов. Владельцы организации автоматически входят в эту группу.
Совет
Сведения о создании или отмене собственных PAT см. в статье "Создание или отмена PAT".
Отмена PATS
- Чтобы отменить авторизацию OAuth, включая PATs, для пользователей вашей организации, см . статью "Отзыв маркеров" — отмена авторизации.
- Чтобы автоматизировать вызов REST API, используйте этот скрипт PowerShell, который передает список имен субъектов-пользователей (UPN). Если вы не знаете имя участника-пользователя, создавшего PAT, используйте этот скрипт с указанным диапазоном дат.
Примечание.
При использовании диапазона дат все веб-токены JSON (JWTs) также отзываются. Любые средства, основанные на этих маркерах, не работают до обновления с новыми маркерами.
- После успешного отзыва затронутых PATS сообщите пользователям. При необходимости они могут воссоздать свои токены.
Может потребоваться задержка до одного часа до того, как pat становится неактивным, так как этот период задержки сохраняется до тех пор, пока операция отключения или удаления не будет полностью обработана в идентификаторе Microsoft Entra.
Истечение срока действия маркера FedAuth
Маркер FedAuth выдается при входе. Это допустимо для семидневного скользящего окна. Срок действия автоматически расширяется еще семь дней при обновлении его в скользящем окне. Если пользователи регулярно обращаются к службе, требуется только начальный вход. После периода бездействия, расширяющего семь дней, маркер становится недействительным, и пользователь должен войти снова.
Срок действия PAT
Пользователи могут выбрать дату окончания срока действия для своего PAT, а не превышать один год. Мы рекомендуем использовать более короткие периоды времени и создавать новые PATs после истечения срока действия. Пользователи получают уведомление по электронной почте за неделю до истечения срока действия маркера. Пользователи могут создать новый маркер, продлить срок действия существующего маркера или изменить область существующего маркера при необходимости.
Журналы аудита
Если ваша организация подключена к идентификатору Microsoft Entra, у вас есть доступ к журналам аудита, отслеживающим различные события, включая изменения разрешений, удаленные ресурсы и доступ к журналам. Эти журналы аудита полезны для проверки отзыва или изучения любых действий. Дополнительные сведения см. в статьях "Доступ", "Экспорт" и "Фильтрация журналов аудита".
Часто задаваемые вопросы
Вопрос. Что происходит с PAT, если пользователь покидает мою компанию?
Ответ. После удаления пользователя из идентификатора Microsoft Entra маркеры PATs и FedAuth недействительны в течение часа, так как маркер обновления действителен только в течение одного часа.
Вопрос. Следует ли отозвать веб-маркеры JSON (JWTs)?
Ответ. Если у вас есть JWTs, которые вы считаете, должны быть отменены, мы рекомендуем сделать это быстро. Отмените JWTs, выданные в рамках потока OAuth с помощью скрипта PowerShell. Обязательно используйте параметр диапазона дат в скрипте.