Mencabut token akses pribadi untuk pengguna organisasi

Layanan Azure DevOps | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

Jika token akses pribadi (PAT) Anda disusupi, ambil tindakan segera. Pelajari cara administrator dapat mencabut PAT pengguna, sebagai tindakan pencegahan untuk melindungi organisasi Anda. Anda juga dapat menonaktifkan pengguna, yang mencabut PAT mereka. Namun, ada latensi (hingga satu jam) sebelum PAT berhenti berfungsi, setelah fungsi nonaktifkan atau hapus selesai di ID Microsoft Entra.

Prasyarat

Hanya pemilik Organisasi atau anggota grup Administrator Koleksi Proyek yang dapat mencabut PAT pengguna. Jika Anda bukan anggota grup Administrator Koleksi Proyek, tambahkan sebagai salah satu. Untuk mempelajari cara menemukan pemilik Organisasi Anda, lihat Mencari pemilik organisasi.

Untuk pengguna, jika Anda ingin membuat atau mencabut PAT Anda sendiri, lihat Membuat atau mencabut token akses pribadi.

Mencabut PATs

  1. Untuk mencabut otorisasi OAuth, termasuk PATs, untuk pengguna organisasi Anda, lihat Pencabutan token - Mencabut otorisasi.
  2. Gunakan skrip PowerShell ini untuk mengotomatiskan panggilan REST API baru dengan meneruskan daftar nama prinsipal pengguna (UPN). Jika Anda tidak tahu UPN pengguna yang membuat PAT, gunakan skrip ini, namun harus didasarkan pada rentang tanggal.

Catatan

Perlu diingat bahwa ketika Anda menggunakan rentang tanggal setiap token web JSON (JWT) juga dicabut. Ketahui juga bahwa alat apa pun yang bergantung pada token ini tidak akan berfungsi sampai disegarkan dengan token baru.

  1. Setelah Berhasil mencabut PAT yang terpengaruh, beri tahu pengguna Anda. Mereka dapat membuat ulang token mereka, sesuai kebutuhan.

Kedaluwarsa token FedAuth

Token FedAuth akan dikeluarkan saat Anda masuk. Ini berlaku untuk jendela geser tujuh hari. Kedaluwarsa secara otomatis memperpanjang tujuh hari lagi setiap kali Anda me-refreshnya dalam jendela geser. Jika pengguna mengakses layanan secara teratur, hanya rincian masuk awal yang diperlukan. Setelah periode tidak aktif yang diperpanjang tujuh hari, token menjadi tidak valid dan pengguna harus masuk lagi.

Kedaluwarsa token akses pribadi

Pengguna dapat memilih tanggal kedaluwarsa untuk token akses pribadi mereka, tidak melebihi satu tahun. Kami sarankan Anda menggunakan periode waktu yang lebih singkat, menghasilkan PAT baru setelah kedaluwarsa. Pengguna menerima email pemberitahuan satu minggu sebelum token kedaluwarsa. Pengguna dapat menghasilkan token baru, memperpanjang kedaluwarsa token yang ada, atau mengubah cakupan token yang ada, jika diperlukan.

Pertanyaan Umum

T: Bagaimana jika pengguna meninggalkan perusahaan saya?

J: Setelah pengguna dihapus dari ID Microsoft Entra, token PATs dan FedAuth tidak valid dalam waktu satu jam, karena token refresh hanya berlaku selama satu jam.

T: Bagaimana dengan token web JSON (JWTs)?

J: Cabut JWT, yang dikeluarkan sebagai bagian dari alur OAuth, melalui skrip PowerShell. Namun, Anda harus menggunakan opsi rentang tanggal dalam skrip.