조직 사용자에 대한 개인용 액세스 토큰 해지

  • 아티클

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

PAT(개인용 액세스 토큰)가 손상된 경우 즉각적인 조치를 취합니다. 관리자가 조직을 보호하기 위한 예방 조치로 사용자의 PAT를 해지하는 방법을 알아봅니다. PAT를 해지하는 사용자를 사용하지 않도록 설정할 수도 있습니다. 그러나 PAT가 작동을 중지하기 전에 대기 시간(최대 1시간)이 있지만, Microsoft Entra ID에서 사용 안 함 또는 삭제 함수가 완료되면 대기 시간이 발생합니다.

필수 조건

조직 소유자 또는 Project Collection 관리istrators 그룹의 구성원만 사용자 PAT를 해지할 수 있습니다. Project Collection 관리istrators 그룹의 구성원이 아닌 경우 하나로 추가됩니다. 조직 소유자를 찾는 방법을 알아보려면 조직 소유자 조회를 참조하세요.

사용자의 경우 사용자 고유의 PAT를 만들거나 해지하려면 개인 액세스 토큰 만들기 또는 해지를 참조 하세요.

PAT 해지

  1. 조직의 사용자에 대해 PAT를 포함한 OAuth 권한 부여를 취소하려면 토큰 해지 - 권한 부여 취소를 참조 하세요.
  2. PowerShell 스크립트 를 사용하여 UPN(사용자 계정 이름) 목록을 전달하여 새 REST API 호출을 자동화합니다. PAT를 만든 사용자의 UPN을 모르는 경우 이 스크립트를 사용하되 날짜 범위를 기반으로 해야 합니다.

참고 항목

날짜 범위를 사용하는 경우 JWT(JSON 웹 토큰)도 해지됩니다. 또한 이러한 토큰을 사용하는 모든 도구는 새 토큰으로 새로 고쳐질 때까지 작동하지 않습니다.

  1. 영향을 받는 PAT를 성공적으로 해지한 후 사용자에게 알릴 수 있습니다. 필요에 따라 토큰을 다시 만들 수 있습니다.

FedAuth 토큰 만료

로그인할 때 FedAuth 토큰이 발급됩니다. 7일 슬라이딩 윈도우에 적합합니다. 만료는 슬라이딩 윈도우 내에서 새로 고칠 때마다 7일 더 자동으로 연장됩니다. 사용자가 정기적으로 서비스에 액세스하는 경우 초기 로그인만 필요합니다. 비활성 기간이 7일로 연장되면 토큰이 유효하지 않고 사용자가 다시 로그인해야 합니다.

개인 액세스 토큰 만료

사용자는 1년을 초과하지 않고 개인용 액세스 토큰의 만료 날짜를 선택할 수 있습니다. 만료 시 새 PAT를 생성하여 더 짧은 기간을 사용하는 것이 좋습니다. 사용자는 토큰이 만료되기 일주일 전에 알림 이메일을 받습니다. 사용자는 새 토큰을 생성하거나, 기존 토큰의 만료 기간을 연장하거나, 필요한 경우 기존 토큰의 범위를 변경할 수 있습니다.

FAQ(질문과 대답)

Q: 사용자가 회사를 떠나면 어떻게 될까요?

A: 사용자가 Microsoft Entra ID에서 제거되면 새로 고침 토큰은 1시간 동안만 유효하므로 PAT 및 FedAuth 토큰은 1시간 이내에 무효화됩니다.

Q: JWT(JSON 웹 토큰)는 어떻습니까?

A: PowerShell 스크립트를 통해 OAuth 흐름의 일부로 발급된 JWT를 해지합니다. 그러나 스크립트에서 날짜 범위 옵션을 사용해야 합니다.