Revocación de tokens de acceso personal para usuarios de la organización

  • Artículo
  • 2 minutos para leer

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2017

Si el token de acceso personal (PAT) está en peligro, tome medidas inmediatas. Obtenga información sobre cómo un administrador puede revocar el PAT de un usuario, como precaución para proteger su organización. También puede deshabilitar un usuario, que revoca su PAT. Sin embargo, hay latencia (hasta una hora) antes de que pat deje de funcionar, una vez que la función disable o delete se complete en Azure Active Directory (Azure AD).

Requisitos previos

Solo un administrador de la organización o Project de recopilación de datos (PCA) pueden revocar los PAT de usuario. Si no es miembro del grupo administradores de Project recopilación,se agrega como uno. Para obtener información sobre cómo buscar el administrador de la organización, consulte Buscar administradores y propietarios de la organización.

Para los usuarios, si desea crear o revocar sus propios PAT, consulte Creación o revocación de tokens de acceso personal.

Revocar LOS PAT

  1. Para revocar las autorizaciones de OAuth, incluidas las PAT, para los usuarios de la organización, consulte Revocaciones de tokens: revocación de autorizaciones.
  2. Use este script de PowerShell para automatizar la llamada a la nueva API REST pasando una lista de nombres principales de usuario (UPN). Si no conoce el UPN del usuario que creó el PAT, use este script, pero debe basarse en un intervalo de fechas.

Nota

Tenga en cuenta que cuando se usa un intervalo de fechas, también se revocan los tokens web JSON (JWT). Tenga en cuenta también que las herramientas que se basen en estos tokens no funcionarán hasta que se actualicen con nuevos tokens.

  1. Una vez que haya revocado correctamente las PAT afectadas, informe a los usuarios. Pueden volver a crear sus tokens, según sea necesario.

Expiración del token de FedAuth

Al iniciar sesión, se emite un token de FedAuth. Es válido para una ventana deslizante de siete días. La expiración se extiende automáticamente otros siete días cada vez que se actualiza dentro de la ventana deslizante. Si los usuarios acceden al servicio con regularidad, solo se necesita un inicio de sesión inicial. Después de un período de inactividad que se extiende siete días, el token deja de ser válido y el usuario debe iniciar sesión de nuevo.

Expiración del token de acceso personal

Los usuarios pueden elegir una fecha de expiración para su token de acceso personal, sin superar un año. Se recomienda usar períodos de tiempo más cortos, generando nuevas PAT al expirar. Los usuarios reciben un correo electrónico de notificación una semana antes de la expiración del token. Los usuarios pueden generar un nuevo token, extender la expiración del token existente o cambiar el ámbito del token existente, si es necesario.

Preguntas más frecuentes (P+F)

P: ¿Qué ocurre si un usuario deja mi empresa?

A. Una vez que se quita un usuario de Azure AD, los TOKENS y los tokens de FedAuth se invalidan en un plazo de una hora, ya que el token de actualización solo es válido durante una hora.

P: ¿Qué sucede con los tokens web JSON (JWT)?

A: Revoque los JWT, emitidos como parte del flujo de OAuth, a través del script de PowerShell. Sin embargo, debe usar la opción de intervalo de fechas en el script.