撤消组织用户的个人访问令牌
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2017
如果个人访问令牌 (PAT) 遭到入侵,请立即采取措施。 了解管理员如何撤销用户的 PAT,作为保护组织的一种预防措施。 还可以禁用用户,以撤消其 PAT。 在 PAT 停止工作之前, (的延迟时间) 多达一小时不过,禁用或删除函数在 Azure Active Directory (Azure AD) 中完成。
先决条件
只有组织所有者或Project 集合 Administrators组的成员才能撤消用户 pat。 如果你不是Project Collection Administrators组的成员,请添加为一个。 若要了解如何查找 组织所有者,请参阅 查找组织所有者。
对于用户,如果要创建或撤消自己的 Pat,请参阅 创建或撤消个人访问令牌。
撤消 Pat
- 若要吊销适用于组织用户的 OAuth 授权(包括 Pat),请参阅 令牌吊销-吊销授权。
- 使用此 PowerShell 脚本 通过向 (upn) 传递用户主体名称的列表来自动调用新 REST API。 如果你不知道创建 PAT 的用户的 UPN,请使用此脚本,但它必须基于一个日期范围。
注意
请记住,在使用日期范围时, (Jwt) 的任何 JSON web 令牌也会被吊销。 另请注意,在使用新标记进行刷新之前,依赖于这些标记的任何工具都将无法工作。
- 成功撤销受影响的 Pat 后,让用户知道。 他们可以根据需要重新创建其令牌。
FedAuth 令牌过期
当你登录时,将发出 FedAuth 令牌。 它适用于七天的滑动窗口。 当你在滑动窗口中刷新时,该过期时间会自动延长7天。 如果用户定期访问服务,则只需要初始登录。 超过7天的非活动期后,该令牌将变为无效,用户必须再次登录。
个人访问令牌过期
用户可以为其个人访问令牌选择过期日期,而不是超过一年。 建议使用较短的时间段,并在过期后生成新 Pat。 用户在令牌到期前一周收到通知电子邮件。 如果需要,用户可以生成新令牌、扩展现有令牌的过期时间或更改现有令牌的作用域。
常见问题 (FAQ)
问:如果用户离开我的公司怎么办?
答:从 Azure AD 中删除用户后,pat 和 FedAuth 令牌将在一小时内失效,因为刷新令牌的有效期仅为一小时。
问: (Jwt) 的 JSON web 令牌怎么办?
答:通过 PowerShell 脚本吊销作为 OAuth 流一部分发出的 jwt。 但是,必须在脚本中使用 "日期范围" 选项。