Uso de tokens de acceso personal
Una vez creado el PAT, puede usarlo en cualquier lugar en el que se requieran las credenciales de usuario para la autenticación Azure DevOps.
Notificaciones
Los usuarios reciben dos notificaciones durante la vigencia de un PAT: una tras la creación y la otra siete días antes de la expiración.
Después de crear un PAT, recibirá una notificación similar al ejemplo siguiente.
Siete días antes de que expire el PAT, recibirá una notificación similar al ejemplo siguiente.
Notificación inesperada
Si recibe una notificación PAT inesperada, es posible que un administrador o una herramienta haya creado un PAT en su nombre. Vea los ejemplos siguientes:
- Al conectarse a un repositorio Azure DevOps Git a través de git.exe. crea un token con un nombre para mostrar como "git:
https://MyOrganization.visualstudio.com/on MyMachine". - Cuando usted o un administrador configura una implementación de aplicación web de Azure App Service, crea un token con un nombre para mostrar como "Service Hooks: : Azure App Service: : Deploy web app".
- Cuando usted o un administrador configura pruebas de carga web, como parte de una canalización, crea un token con un nombre para mostrar como "WebAppLoadTestCDIntToken".
- Cuando se Microsoft Teams la extensión de mensajería de integración, crea un token con un nombre para mostrar como "Microsoft Teams Integration".
Si cree que existe un error de PAT, le recomendamos que revoque el PAT. A continuación, cambie la contraseña. Como usuario Azure AD usuario, consulte con el administrador para ver si su organización se usó desde un origen o ubicación desconocidos. Consulte también las preguntas más frecuentes sobre cómo registrar accidentalmente un PAT en un repositorio GitHub público.
Uso de un PAT
El token es su identidad y le representa cuando se usa. Trate y use un PAT como la contraseña.
Las interacciones de Git requieren un nombre de usuario, que puede ser cualquier cosa excepto la cadena vacía. El PAT se usa como contraseña. Además, tiene que codificar en Base64 el nombre de usuario y PAT para usarlo con la autenticación básica HTTP. En Linux o macOS, en Bash, puede escribir:
MY_PAT=yourPAT # replace "yourPAT" with your actual PAT
B64_PAT=$(printf "%s"":$MY_PAT" | base64)
git -c http.extraHeader="Authorization: Basic ${B64_PAT}" clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName
Sugerencia
En el caso de los repositorios existentes, si ya ha agregado el origen con el nombre de usuario, ejecute primero el siguiente comando.
git remote remove origin De lo contrario, ejecute el siguiente comando: git remote add origin https://<PAT>@<company_machineName>.visualstudio.com:/<path-to-git-repo> path to git repo = <project name>/_git/<repo_name> git push -u origin --all
En Windows, puede hacer algo similar en PowerShell:
$MyPat = 'yourPAT'
$B64Pat = [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes("$MyPat"))
git -c http.extraHeader="Authorization: Basic $B64Pat" clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName
Para mantener el token más seguro, use administradores de credenciales para que no tenga que escribir las credenciales cada vez. Se recomienda el siguiente administrador de credenciales:
- Git Administrador de credenciales Core (Windows también requiere Git para Windows)
Uso de un PAT en el código
Vea el ejemplo siguiente que obtiene una lista de compilaciones mediante curl.
curl -u :{PAT} https://dev.azure.com/{organization}/_apis/build-release/builds
Si desea proporcionar el PAT a través de un encabezado HTTP, conviéndolo primero en una cadena Base64 (en el ejemplo siguiente se muestra cómo convertir a Base64 mediante C#). A continuación, la cadena resultante se puede proporcionar como un encabezado HTTP en el formato siguiente:
Authorization: Basic BASE64_USERNAME_PAT_STRING
Aquí está en C# mediante la clase HttpClient.
public static async void GetBuilds()
{
try
{
var personalaccesstoken = "PATFROMWEB";
using (HttpClient client = new HttpClient())
{
client.DefaultRequestHeaders.Accept.Add(
new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
Convert.ToBase64String(
System.Text.ASCIIEncoding.ASCII.GetBytes(
string.Format("{0}:{1}", "", personalaccesstoken))));
using (HttpResponseMessage response = client.GetAsync(
"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
{
response.EnsureSuccessStatusCode();
string responseBody = await response.Content.ReadAsStringAsync();
Console.WriteLine(responseBody);
}
}
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
}
Sugerencia
Cuando use variables, agregue un al principio de $ la cadena, como en el ejemplo siguiente.
public static async void GetBuilds()
{
try
{
var personalaccesstoken = "PATFROMWEB";
using (HttpClient client = new HttpClient())
{
client.DefaultRequestHeaders.Accept.Add(
new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
Convert.ToBase64String(
System.Text.ASCIIEncoding.ASCII.GetBytes(
string.Format("{0}:{1}", "", personalaccesstoken))));
using (HttpResponseMessage response = client.GetAsync(
$"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
{
response.EnsureSuccessStatusCode();
string responseBody = await response.Content.ReadAsStringAsync();
Console.WriteLine(responseBody);
}
}
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
}
Cuando el código funciona, es un buen momento para cambiar de autenticación básica a OAuth.
Si habilita la autenticación básica de IIS para TFS, las PAT no son válidas. Para obtener más información, vea Usar la autenticación básica de IIS con TFS local.
Para obtener más ejemplos de cómo usar las PAT, vea Administradores de credenciales de Git,API REST,NuGet en un equipo Mac,Clientes de informes o Introducción a la CLI de Azure DevOps.
Modificación de un PAT
Puede volver a generar o extender un PAT y modificar su ámbito.
Nota
Para habilitar la nueva interfaz de usuario para la página Nuevo administrador de cuentas, consulte Administración o habilitación de características.
En la página principal, abra la configuración de usuario y seleccione Perfil.
En Seguridad, seleccione Tokens de acceso personal. Seleccione el token para el que desea modificar y, a continuación, seleccione Editar.
Edite el nombre del token, la organización a la que se aplica, la expiración del token o el ámbito de acceso asociado al token y, a continuación, seleccione Guardar.
Revocación de un PAT
Puede revocar un PAT en cualquier momento, por diversos motivos.
Nota
Para habilitar la nueva interfaz de usuario para la página Nuevo administrador de cuentas, consulte Administración o habilitación de características.
En la página principal, abra la configuración de usuario y seleccione Perfil.
En Seguridad, seleccione Tokens de acceso personal. Seleccione el token para el que desea revocar el acceso y, a continuación, seleccione Revocar.
Seleccione Revocar en el cuadro de diálogo de confirmación.
Artículos relacionados
- Acerca de la seguridad, autenticación y autorización
- Permisos y acceso predeterminados para Azure DevOps
- Revocación de los PAT de otros usuarios
Preguntas más frecuentes
P: ¿Hay alguna manera de renovar un PAT a través de la API REST?
A. Sí, hay una manera de renovar, administrar y crear PAT mediante nuestras API de administración del ciclo de vida de PAT. Obtenga más información sobre la renovación, regeneración y rotación de LOS PAT en nuestras preguntas más frecuentes.
P: ¿Puedo usar la autenticación básica con todas Azure DevOps API REST?
A. No. Puede usar la autenticación básica con la mayoría de ellas, pero las organizaciones y los perfiles solo admiten OAuth. Para más información, consulte Administración de PAT mediante la API rest.
P: ¿Qué ocurre si compro accidentalmente mi PAT en un repositorio público en GitHub?
A: Azure DevOps de búsqueda de LAS PAT que se han registrado en repositorios públicos en GitHub. Cuando se encuentra un token filtrado, se envía inmediatamente una notificación por correo electrónico detallada al propietario del token y se registra un evento en el registro de auditoría de la Azure DevOps de la organización. Animamos a los usuarios afectados a mitigar inmediatamente mediante la rotación o revocación del PAT filtrado.
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2017
Un token de acceso personal (PAT) se usa como contraseña alternativa para autenticarse en Azure DevOps. Aprenda a crear, usar, modificar y revocar LAS PAT para Azure DevOps.
Si trabaja con herramientas de Microsoft, su cuenta Microsoft (MSA) o Azure Active Directory (Azure AD) es un enfoque aceptable y bien admitido. Sin embargo, si trabaja con herramientas de terceros que no admiten cuentas de Microsoft o Azure AD (o no quiere proporcionar sus credenciales principales a la herramienta), puede usar las PAT para limitar el riesgo.
Las PAT son fáciles de crear cuando las necesita y fáciles de revocar cuando no lo hace. Para configurar las PAT para herramientas que no son de Microsoft, use administradores de credenciales de Git o cónmalos manualmente. Se recomienda revisar nuestra guía de autenticación para ayudarle a elegir el mecanismo de autenticación correcto. En el caso de los proyectos más pequeños que requieren una solución menos sólida, las PAT son una alternativa sencilla. A menos que los usuarios usen un administrador de credenciales, deben escribir sus credenciales cada vez.
Puede crear y administrar las PAT mediante una de las siguientes maneras:
- la interfaz de usuario en la configuración de usuario, que se describe en detalle en este artículo
- a través del ciclo de vida de PAT API de Administración
Importante
En el caso de las organizaciones Azure Active Directory, tiene 90 días para iniciar sesión con el nuevo PAT; de lo contrario, se considera inactivo. Para obtener más información, vea Frecuencia de inicio de sesión de usuario para acceso condicional.
Creación de un PAT
Nota
Para habilitar la nueva interfaz de usuario para la página Nuevo administrador de cuentas, consulte Administración o habilitación de características.
Inicie sesión en su organización en Azure DevOps (
https://dev.azure.com/{yourorganization})En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.
A continuación, seleccione + Nuevo token.
Asigne un nombre al token, seleccione la organización en la que desea usar el token y, a continuación, elija una duración para el token.
Seleccione los ámbitos de este token para autorizar las tareas específicas.
Por ejemplo, para crear un token para permitir que un agente de compilación y versión se autentique en Azure DevOps Services, limite el ámbito del token a Grupos de agentes (administración de lectura). Para leer los eventos del registro de auditoría y administrar y eliminar secuencias, seleccione Leer registro de auditoríay, a continuación, crear.
Cuando haya terminado, asegúrese de copiar el token. Por seguridad, no se volverá a mostrar. Use este token como contraseña.
Inicie sesión en el portal web (
https://{server}:8080/tfs/).En la página principal, abra el perfil. Vaya a los detalles de seguridad.
Cree un token de acceso personal.
Asigne un nombre al token. Seleccione una duración para el token.
Si tiene más de una organización, también puede seleccionar la organización en la que desea usar el token.
Seleccione los ámbitos de este token para autorizar las tareas específicas.
Por ejemplo, para crear un token para permitir que un agente de compilación y versión se autentique, limite el ámbito del token a grupos de agentes (leer, administrar).
Cuando haya terminado, asegúrese de copiar el token. Por seguridad, no se volverá a mostrar. Use este token como contraseña. Seleccione Cerrar.
