使用个人访问令牌

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

个人访问令牌(PAT)充当用于向 Azure DevOps 进行身份验证的替代密码。 此 PAT 可识别你并确定可访问性和访问范围。 因此,请以与密码相同的谨慎级别对待 PAT。

重要

我们建议使用 Microsoft Entra 令牌。 获取有关我们减少 PAT 使用率努力的更多信息,请参阅 我们的博客。 查看我们的 身份验证指南,以根据需要选择适当的身份验证机制。

当您使用 Microsoft 工具时,Microsoft 帐户(MSA)或 Microsoft Entra ID 会被识别和支持。 如果使用不支持Microsoft Entra 帐户或不想共享主要凭据的工具,则 PAT 可能是一种合适的替代方法。 但是,我们建议尽可能使用 Microsoft Entra 令牌,而不是 PAT。

你可以通过以下方法管理 PAT:

  • 用户界面 (UI)): 通过用户设置,如本文所述。
  • PAT 生命周期管理 API
  • 用于 Git 操作的Git 凭证管理器。 凭据管理器有助于进行令牌管理。 如果没有凭据,用户每次都必须输入其凭据。

先决条件

  • 权限
    • 有权访问和修改管理 PAT 的用户设置。
      • 检查权限: 若要检查权限,请在 Azure DevOps 中执行以下任一过程:
        • 转到配置文件并选择“”。 如果在此处可以看到和管理 PAT,则具有必要的权限。
        • 转到项目并选择“项目设置>权限”。 在列表中查找用户帐户,并检查分配给你的权限。 查找与管理令牌或用户设置相关的权限。
    • 如果组织已制定策略,Azure DevOps 管理员可能需要授予特定权限,或将你添加到允许列表来创建和管理 PAT。
    • PATs 连接到生成令牌的用户帐户。 根据 PAT 执行的任务,你自己可能需要更多权限。
  • 访问级别: 至少具有基本访问权限。
  • 安全最佳做法: 熟悉 安全最佳做法 用于管理 PAT。 请仅在需要时才使用它们,并且应始终定期轮换它们。

创建 PAT

  1. (https://dev.azure.com/{Your_Organization}) 登录到组织。

  2. 在主页中,打开用户设置 ,然后选择“个人访问令牌”

    显示选择“个人访问令牌”的屏幕截图。

  3. 选择“+ 新建令牌”

    显示所选内容“新建令牌”的屏幕截图。

  4. 为令牌命名,选择要在其中使用令牌的组织,然后将令牌设置为在设置天数后自动过期。

    显示基本令牌信息的条目的屏幕截图。

  5. 选择 此令牌的范围 以授权特定 任务

    例如,若要为生成和发布代理创建令牌以向 Azure DevOps 进行身份验证,请将令牌的范围设置为代理池(读取和管理)。 若要读取审核日志事件并管理或删除流,请选择“ 读取审核日志”,然后选择“ 创建”。

    显示 PAT 的选定作用域的屏幕截图。

    注意

    你可能受到限制,无法创建全作用域的 PAT。 如果是这样,Microsoft Entra ID 中的 Azure DevOps 管理员启用了将你限制为特定自定义范围集的策略。 有关详细信息,请参阅 使用策略管理 PAT/限制创建全作用域 PAT。 对于自定义的 PAT,访问组件治理 API vso.governance所需的范围在 UI 中不可选择。

  6. 完成后,复制令牌并将其存储在安全位置。 出于安全原因,它不会再次显示。

    显示如何将令牌复制到剪贴板的屏幕截图。

在 Azure DevOps 中进行身份验证所需的任何位置使用 PAT。

重要

  • 请谨慎对待 PAT,使其与密码保持机密。
  • Microsoft Entra ID 支持的组织在 90 天内使用新的 PAT 登录;否则,PAT 将变为非活动状态。 有关详细信息,请参阅 条件访问的用户登录频率。

通知

在 PAT 的生命周期内,用户会收到两条通知:创建时第一个通知,第二个通知在过期前七天收到。

创建 PAT 后,会收到类似于以下示例的通知。 此通知用于确认 PAT 已成功添加到组织。

显示 PAT 创建的通知的屏幕截图。

下图显示了 PAT 过期前的七天通知示例。

显示 PAT 即将过期通知的屏幕截图。

有关详细信息,请参阅 配置 SMTP 服务器并为警报和反馈请求自定义电子邮件。

意外通知

如果收到意外的 PAT 通知,则可能意味着管理员或工具为你创建了 PAT。 下面是一些示例:

  • 通过 git.exe 连接到 Azure DevOps Git 存储库时,将创建名为“git: https://dev.azure.com/{Your_Organization} on YourMachine”的令牌。
  • 当你或管理员设置 Azure 应用服务 Web 应用部署时,将创建名为“服务挂钩:部署 Web 应用”的令牌。
  • 当你或管理员将 Web 负载测试设置为管道的一部分时,将创建名为“WebAppLoadTestCDIntToken”的令牌。
  • 设置 Microsoft Teams 集成消息扩展时,将创建一个名为“Microsoft Teams Integration”的令牌。

警告

  • 如果怀疑它的存在是错误的,请撤销 PAT(并更改密码)。
  • 如果你是 Microsoft Entra 用户,请与管理员联系,了解未知源或位置是否访问了您的组织。
  • 查看有关意外通过 PAT 签入到公共 GitHub 存储库的常见问题解答

使用 PAT

PAT 充当数字标识,就像密码一样。 可以使用 PAT 作为一次性请求或在本地创建应用程序的原型的快速方法。

重要

代码正常工作时,是从基本身份验证切换到 Microsoft Entra OAuth 的大好时机。 除非本文另有说明,否则,你可以在使用 PAT 的任何地方使用 Microsoft Entra ID 令牌。

可以在代码中使用 PAT 对 REST API 进行身份验证,请求并自动执行工作流。 为此,请将 PAT 包含在 HTTP 请求的授权标头中。

若要通过 HTTP 标头提供 PAT,请先将其转换为 Base64 字符串。 以下示例演示如何转换为 Base64 使用 C# 。


Authorization: Basic BASE64_USERNAME_PAT_STRING

然后,可以采用以下格式将生成的字符串作为 HTTP 标头提供。

以下示例使用 C# 中的 HttpClient 类

public static async void GetBuilds()
{
    try
    {
        var personalaccesstoken = "PATFROMWEB";

        using (HttpClient client = new HttpClient())
        {
            client.DefaultRequestHeaders.Accept.Add(
                new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

            client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
                Convert.ToBase64String(
                    System.Text.ASCIIEncoding.ASCII.GetBytes(
                        string.Format("{0}:{1}", "", personalaccesstoken))));

            using (HttpResponseMessage response = client.GetAsync(
                        "https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
            {
                response.EnsureSuccessStatusCode();
                string responseBody = await response.Content.ReadAsStringAsync();
                Console.WriteLine(responseBody);
            }
        }
    }
    catch (Exception ex)
    {
        Console.WriteLine(ex.ToString());
    }
}

提示

使用变量时,请在字符串开头添加一个 $ ,如以下示例所示。

public static async void GetBuilds()
{
   try
  {
      var personalaccesstoken = "PATFROMWEB";

      using (HttpClient client = new HttpClient())
       {
           client.DefaultRequestHeaders.Accept.Add(
              new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));

           client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
               Convert.ToBase64String(
                   System.Text.ASCIIEncoding.ASCII.GetBytes(
                       string.Format("{0}:{1}", "", personalaccesstoken))));

          using (HttpResponseMessage response = client.GetAsync(
                       $"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
           {
               response.EnsureSuccessStatusCode();
               string responseBody = await response.Content.ReadAsStringAsync();
               Console.WriteLine(responseBody);
           }
       }
   }
   catch (Exception ex)
   {
       Console.WriteLine(ex.ToString());
   }
}

有关如何使用 PAT 的一些更多示例,请参阅以下文章:

修改 PAT

执行以下步骤:

  • 重新生成 PAT 以创建新令牌,使上一个令牌失效。
  • 延长 PAT 以增加其有效期。
  • 更改 PAT 的范围以更改其权限。
  1. 在主页中,打开用户设置,然后选择“ 配置文件”。

    显示用于修改 PAT 的按钮序列的屏幕截图。

  2. 在“安全性”下,选择“ 个人访问令牌”。 选择要修改的令牌,然后选择 “编辑”。

    显示突出显示的“编辑”按钮以修改 PAT 的屏幕截图。

  3. 编辑令牌名称、令牌过期或与令牌关联的访问范围,然后选择“ 保存”。

    显示修改后的 PAT 的屏幕截图。

撤销 PAT

可以随时出于以下原因和其他原因撤销 PAT:

  • 如果你怀疑它遭到入侵,请撤销 PAT。
  • 不再需要 PAT 时将其撤销。
  • 撤销 PAT 以强制实施安全策略或合规性要求。
  1. 在主页中,打开用户设置,然后选择“ 配置文件”。

    显示要选择的按钮序列、Team Services、预览页和撤销 PAT 的屏幕截图。

  2. 在“安全性”下,选择“ 个人访问令牌”。 选择要为其撤消访问权限的令牌,然后选择“ 撤销”。

    显示用于撤销单个令牌或所有令牌的选择的屏幕截图。

  3. 在确认对话框中选择“ 撤销 ”。

    显示用于撤销 PAT 的确认屏幕的屏幕截图。

有关详细信息,请参阅 为管理员撤销用户 PAT。

对格式的更改

截至 2024 年 7 月,我们显著改变了 Azure DevOps 颁发的 PAT 格式。 这些更改提供了更多的安全优势,并通过我们的 泄露的 PAT 检测工具合作伙伴产品/服务改进机密检测工具。 此新的 PAT 格式遵循所有Microsoft产品的建议格式。 包含更多可识别位可提高这些机密检测工具的误报检测率,使我们能够更快地缓解检测到的泄漏。

关键更改:

  • 增加令牌长度: 新令牌的长度现在 为 84 个字符,52 个字符是随机数据。 这种增加的长度提高了整体萎缩性,使令牌对潜在的暴力攻击更具抵抗力。
  • 已修复签名: 我们的服务颁发的令牌包括位于 76-80 位置的固定 AZDO 签名。

需要执行操作:

  • 重新生成现有 PAT: 强烈建议重新生成当前用于利用这些安全增强功能的所有 PAT。
  • 集成器支持: 集成器应更新其系统,以适应新的令牌长度和现有令牌长度。

重要

这两种格式在可预见的将来仍然有效,但我们 积极鼓励客户过渡到新的 84 个字符的格式。 随着新格式的采用增加,我们考虑停用旧版 52 个字符的格式和该样式中颁发的所有令牌。

使用 PAT 的最佳做法

考虑替代项

创建 PAT

  • 避免将个人数据置于 PAT 名称中。 不要将 PAT 令牌字符串重命名为令牌名称。
  • 如果 PAT 不需要访问多个组织,则仅选择需要访问的组织。 对于需要访问多个组织的工作流,请为该工作流创建单独的全局 PAT。
  • 仅为每个 PAT 选择所需的范围。 如果可能,请为每个工作流创建多个 PAT,其范围更少,而不是单个完全限定范围的 PAT。 如果 PAT 仅需要读取权限,不要提供写入权限,除非必要。
  • 保持 PAT 寿命短(每周是理想的,更短更好),并通过 UI 或 PAT 生命周期管理 API定期轮换或重新生成它们。

管理 PAT

  • Always 将 PAT 存储在安全密钥管理解决方案中,例如 Azure KeyVault
  • 不再需要时撤销 PAT。 如果 PAT 遭到入侵,租户管理员可以撤销其组织用户的 PAT
  • 轮换 PAT 以使用新的 PAT 格式,以便通过第一方工具更好地检测和吊销泄露的机密。

对于管理员

租户管理员可以设置策略来限制全局 PAT 创建、完全范围的 PAT 创建和长期 PAT 持续时间。 用户还可以启用策略,以自动撤销在公共代码库中检测到的泄露的 PAT。 使用这些策略来提高公司的安全性。

常见问题

问:为什么无法编辑或重新生成范围限定为单个组织的 PAT?

答:登录到 PAT 作用范围所在的组织。 您可以在同一 Microsoft Entra ID 中登录任何组织时查看所有 PAT,但只能在登录特定组织时编辑组织范围内的令牌。

问:如果用户帐户被禁用,PAT 会发生什么情况?

答:从 Azure DevOps 中删除用户时,PAT 在 1 小时内失效。 如果组织已连接到 Microsoft Entra ID,则 PAT 也会在Microsoft Entra ID 中失效,因为它属于用户。 建议将 PAT 轮换到另一个用户或服务帐户,以使服务保持运行。

问:是否有办法通过 REST API 续订 PAT?

答:可以,可以使用 PAT 生命周期管理 API续订、管理和创建 PAT。

问:是否可以将 PAT 与所有 Azure DevOps REST API 配合使用?

答: 不是。 可以将基本身份验证与大多数 Azure DevOps REST API 一起使用,但组织和个人资料以及 PAT 管理生命周期 API 仅支持 Microsoft Entra OAuth。 有关如何设置 Microsoft Entra 应用以调用此类 API 的示例,请参阅 使用 REST API管理 PAT。

问:如果我意外将 PAT 签入 GitHub 上的公共存储库,会发生什么情况?

答:Azure DevOps 扫描已签入 GitHub 上的公共存储库的 PAT。 当我们找到泄露的令牌时,我们立即向令牌所有者发送详细的电子邮件通知,并在 Azure DevOps 组织的 审核日志中记录事件。 除非你禁用了 自动撤销泄露的个人访问令牌 策略,否则我们立即撤销泄露的 PAT。 我们鼓励受影响的用户通过撤销泄露的令牌并将其替换为新令牌来缓解此问题。 有关详细信息,请参阅 自动撤销泄露的 PAT。

问:是否可以使用个人访问令牌作为 ApiKey,使用 dotnet/nuget.exe 命令行将 NuGet 包发布到 Azure Artifacts 源?

答: 不是。 Azure Artifacts 不支持将 PAT 作为 ApiKey 传递。 使用本地开发环境时,建议安装 Azure Artifacts 凭据提供程序 以使用 Azure Artifacts 进行身份验证。 有关详细信息,请参阅以下示例:dotnetNuGet.exe。 如果要使用 Azure Pipelines 发布包,请使用 NuGet 身份验证任务对源进行身份验证。 请参阅 示例

问:为什么我的 PAT 停止工作?

答:PAT 身份验证要求你定期使用完整的身份验证流登录到 Azure DevOps。 每 30 天登录一次就足以满足许多用户的需求,但可能需要根据Microsoft Entra 配置更频繁地登录。 如果 PAT 停止工作,请先尝试登录到组织并完成完整的身份验证提示。 如果 PAT 仍然不起作用,请检查它是否已过期。

在 Azure DevOps Server 上启用 IIS 基本身份验证会使使用 PAT 失效。 有关详细信息,请参阅本地环境中将 IIS 基本身份验证与 Azure DevOps 配合使用

问:如何实现创建不与特定人员关联的访问密钥以进行部署?

答:在 Azure DevOps 中,可以使用服务主体或托管标识创建不绑定到特定人员的访问密钥。 有关详细信息,请参阅管理服务连接在 Azure Pipelines 中使用 Azure Key Vault 机密