Revocare i token di accesso personale per gli utenti dell'organizzazione

  • Articolo

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se il token di accesso personale (PAT) è compromesso, intervenire immediatamente. Informazioni su come un amministratore può revocare il pat di un utente, come precauzione per proteggere l'organizzazione. È anche possibile disabilitare un utente, che revoca il proprio pat. C'è latenza (fino a un'ora) prima che il pat interrompa il funzionamento, tuttavia, una volta completata la funzione di disabilitazione o eliminazione in Microsoft Entra ID.

Prerequisiti

Solo il proprietario dell'organizzazione o un membro del gruppo Project Collection Amministrazione istrators può revocare i PT utente.Only the Organization owner or a member of the Project Collection Amministrazione istrators group can revoke user PAT. Se non si è membri del gruppo Project Collection Amministrazione istrators, viene aggiunto come uno. Per informazioni su come trovare il proprietario dell'organizzazione, vedere Cercare il proprietario dell'organizzazione.

Per gli utenti, se si vogliono creare o revocare i propri token di accesso personale, vedere Creare o revocare token di accesso personali.

Revocare le reti AP

  1. Per revocare le autorizzazioni OAuth, incluse le procedure di autorizzazione, per gli utenti dell'organizzazione, vedere Revoche di token - Revocare le autorizzazioni.
  2. Usare questo script di PowerShell per automatizzare la chiamata alla nuova API REST passando un elenco di nomi di entità utente (UPN). Se non si conosce l'UPN dell'utente che ha creato il pat, usare questo script, ma deve essere basato su un intervallo di date.

Nota

Tenere presente che quando si usa un intervallo di date vengono revocati anche i token WEB JSON (JWT). Tenere presente anche che tutti gli strumenti basati su questi token non funzioneranno fino a quando non vengono aggiornati con nuovi token.

  1. Dopo aver revocato correttamente i PT interessati, informare gli utenti. Possono ricreare i token in base alle esigenze.

Scadenza del token FedAuth

Un token FedAuth viene emesso al momento dell'accesso. È valido per una finestra scorrevole di sette giorni. La scadenza estende automaticamente altri sette giorni ogni volta che lo si aggiorna all'interno della finestra temporale scorrevole. Se gli utenti accedono regolarmente al servizio, è necessario solo un accesso iniziale. Dopo un periodo di inattività che estende sette giorni, il token diventa non valido e l'utente deve eseguire di nuovo l'accesso.

Scadenza del token di accesso personale

Gli utenti possono scegliere una data di scadenza per il token di accesso personale, non superare un anno. È consigliabile usare periodi di tempo più brevi, generando nuovi TOKEN alla scadenza. Gli utenti ricevono un messaggio di posta elettronica di notifica una settimana prima della scadenza del token. Gli utenti possono generare un nuovo token, estendere la scadenza del token esistente o modificare l'ambito del token esistente, se necessario.

Domande frequenti

D: Cosa succede se un utente lascia la mia azienda?

R: Dopo aver rimosso un utente dall'ID Microsoft Entra, i token PAT e FedAuth invalidano entro un'ora, perché il token di aggiornamento è valido solo per un'ora.

D: Informazioni sui token Web JSON (JWT)?

R: Revocare I token JWT rilasciati come parte del flusso OAuth tramite lo script di PowerShell. Tuttavia, è necessario usare l'opzione intervallo di date nello script.