撤消组织用户的个人访问令牌

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2017

如果个人访问令牌 (PAT) 遭到入侵,请立即采取措施。 了解管理员如何撤销用户的 PAT,作为保护组织的一种预防措施。 还可以禁用用户,以撤消其 PAT。 在 PAT 停止工作之前, (的延迟时间) 多达一小时不过,禁用或删除函数在 Azure Active Directory (Azure AD) 中完成。

先决条件

只有组织所有者Project 集合 Administrators组的成员才能撤消用户 pat。 如果你不是Project Collection Administrators组的成员,请添加为一个。 若要了解如何查找 组织所有者,请参阅 查找组织所有者

对于用户,如果要创建或撤消自己的 Pat,请参阅 创建或撤消个人访问令牌

撤消 Pat

  1. 若要吊销适用于组织用户的 OAuth 授权(包括 Pat),请参阅 令牌吊销-吊销授权
  2. 使用此 PowerShell 脚本 通过向 (upn) 传递用户主体名称的列表来自动调用新 REST API。 如果你不知道创建 PAT 的用户的 UPN,请使用此脚本,但它必须基于一个日期范围。

注意

请记住,在使用日期范围时, (Jwt) 的任何 JSON web 令牌也会被吊销。 另请注意,在使用新标记进行刷新之前,依赖于这些标记的任何工具都将无法工作。

  1. 成功撤销受影响的 Pat 后,让用户知道。 他们可以根据需要重新创建其令牌。

FedAuth 令牌过期

当你登录时,将发出 FedAuth 令牌。 它适用于七天的滑动窗口。 当你在滑动窗口中刷新时,该过期时间会自动延长7天。 如果用户定期访问服务,则只需要初始登录。 超过7天的非活动期后,该令牌将变为无效,用户必须再次登录。

个人访问令牌过期

用户可以为其个人访问令牌选择过期日期,而不是超过一年。 建议使用较短的时间段,并在过期后生成新 Pat。 用户在令牌到期前一周收到通知电子邮件。 如果需要,用户可以生成新令牌、扩展现有令牌的过期时间或更改现有令牌的作用域。

常见问题 (FAQ)

问:如果用户离开我的公司怎么办?

答:从 Azure AD 中删除用户后,pat 和 FedAuth 令牌将在一小时内失效,因为刷新令牌的有效期仅为一小时。

问: (Jwt) 的 JSON web 令牌怎么办?

答:通过 PowerShell 脚本吊销作为 OAuth 流一部分发出的 jwt。 但是,必须在脚本中使用 "日期范围" 选项。