使用个人访问令牌
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018
可以使用个人访问令牌 (PAT) 作为备用密码向 Azure DevOps 进行身份验证。 本文介绍如何为 Azure DevOps 创建、使用、修改和撤销 PAT。
关于 PAT
个人访问令牌包含 Azure DevOps 的安全凭据。 PAT 可标识你、你可访问的组织和访问范围。 因此,它们和密码一样重要,应该以同样的方式对待。
如果使用 Microsoft 工具,则 Microsoft 帐户 (MSA) 或 Azure Active Directory (Azure AD) 是可接受且得到良好支持的方法。 但是,如果使用的是不支持 Microsoft 或 Azure AD 帐户的第三方工具,或者不想向该工具提供主凭据,请使用 PAT 来限制风险。
可以通过以下方法之一创建和管理 PAT:
- 用户设置中的用户界面,本文将对此进行详细描述
- 通过 PAT 生命周期管理 API
若要为非 Microsoft 工具设置 PAT,请使用 Git 凭据管理器 或手动创建它们。 建议查看身份验证 指南 ,帮助你选择正确的身份验证机制。 对于需要不那么强大的解决方案的小型项目,PAT 是一个简单的替代方法。 除非用户使用凭据管理器,否则他们必须每次都输入其凭据。
创建 PAT
备注
从 Web 门户看到的图像可能与本文中看到的图像不同。 这些差异源于对 Azure DevOps 或已启用预览功能的更新。 我们启用了 “新建帐户经理”页面 功能。 除非明确提及,否则可用的基本功能保持不变。
登录到组织 (
https://dev.azure.com/{yourorganization}) 。在主页中,打开用户设置
,然后选择 “个人访问令牌”。
选择“+ New Token”。
为令牌命名,选择要在其中使用令牌的组织,然后将令牌设置为在设置天数后自动过期。
选择此令牌的范围以授权特定任务。
例如,若要创建令牌,使生成和发布代理能够向Azure DevOps Services进行身份验证,请将令牌的范围限制为代理池, (读取&管理) 。 若要读取审核日志事件并管理和删除流,请选择“ 读取审核日志”,然后选择“ 创建”。
备注
你可能会受到限制,无法创建全范围 PAT。 如果是这样,Azure AD 中的 Azure DevOps 管理员已启用一个策略,该策略将限制为特定的自定义自定义范围集。 有关详细信息,请参阅 使用策略管理 PAT/限制创建全范围 PAT。 对于自定义的 PAT,访问组件治理 API
vso.governance所需的范围在 UI 中不可选择。完成后,请确保复制令牌并将其存储在安全位置。 对于安全性,不会再次显示它。
警告
像密码一样对待和使用 PAT,并将其保留为机密。
在 Azure DevOps 中进行身份验证需要用户凭据的任何位置使用 PAT。
重要
对于 Azure Active Directory 支持的组织,可以使用新的 PAT 登录 90 天,否则被视为非活动状态。 有关详细信息,请参阅 条件访问的用户登录频率。
通知
用户在 PAT 生存期内收到两条通知 - 一个在创建期间收到,另一个在过期前 7 天收到。
创建 PAT 后,会收到类似于以下示例的通知。 此通知确认已将 PAT 添加到组织。
下图显示了 PAT 到期前的七天通知示例。
意外通知
如果收到意外的 PAT 通知,管理员或工具可能代表你创建了 PAT。 请参阅以下示例。
- 通过 git.exe 连接到 Azure DevOps Git 存储库时。 它创建一个令牌,其显示名称类似于“git:
https://MyOrganization.visualstudio.com/on MyMachine”。 - 当你或管理员设置Azure 应用服务 Web 应用部署时,它会创建一个带有显示名称的令牌,如“服务挂钩::Azure 应用服务::部署 Web 应用”。
- 当你或管理员将 Web 负载测试设置为管道的一部分时,它会创建一个带有显示名称(如“WebAppLoadTestCDIntToken”)的令牌。
- 设置 Microsoft Teams Integration Messaging 扩展后,它会创建一个带有显示名称(如“Microsoft Teams 集成”)的令牌。
警告
如果你认为 PAT 存在错误,建议 撤销 PAT。 然后,更改密码。 作为 Azure AD 用户,请与管理员联系,查看组织是否从未知源或位置使用。 另请参阅有关 意外签入 PAT 到公共 GitHub 存储库的常见问题解答。
使用 PAT
PAT 是你的标识,在使用它时表示你,就像密码一样。
Git
Git 交互需要用户名,该用户名可以是空字符串以外的任何内容。
若要将 PAT 与 HTTP 基本身份验证一起使用,请使用 Base64-encode 以下 $MyPat代码块中包含的 PAT。
在 PowerShell 中,输入以下代码。
$MyPat = 'yourPAT'
$B64Pat = [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes("`:$MyPat"))
git -c http.extraHeader="Authorization: Basic $B64Pat" clone https://dev.azure.com/yourOrgName/yourProjectName/_git/yourRepoName
若要使令牌更安全,请使用凭据管理器,因此无需每次输入凭据。 建议 使用 Git 凭据管理器。 需要适用于 Windows 的 Git。
现有存储库
对于现有存储库,如果已使用用户名添加源,请先运行以下命令。
git remote remove origin
否则,请运行以下命令。
git remote add origin https://<PAT>@<company_machineName>.visualstudio.com:/<path-to-git-repo> path to git repo = <project name>/_git/<repo_name> git push -u origin --all
在代码中使用 PAT
可以在代码中使用 PAT,但请注意以下警告。
警告
我们的一些公共 API 当前与 PAT 范围无关,因此只能与“全范围”PAT 一起使用。 因此,限制创建全范围 PAT 可能会阻止某些工作流。 我们正在努力识别和记录受影响的 API,并最终将它们与适当的范围相关联。 目前,可以使用允许列表取消阻止这些工作流。
如果要通过 HTTP 标头提供 PAT,请先将其转换为 Base64 字符串。 以下示例演示如何使用 C# 转换为 Base64。
Authorization: Basic BASE64_USERNAME_PAT_STRING
然后,可以采用以下格式将生成的字符串作为 HTTP 标头提供。
以下示例使用 C# 中的 HttpClient 类 。
public static async void GetBuilds()
{
try
{
var personalaccesstoken = "PATFROMWEB";
using (HttpClient client = new HttpClient())
{
client.DefaultRequestHeaders.Accept.Add(
new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
Convert.ToBase64String(
System.Text.ASCIIEncoding.ASCII.GetBytes(
string.Format("{0}:{1}", "", personalaccesstoken))));
using (HttpResponseMessage response = client.GetAsync(
"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
{
response.EnsureSuccessStatusCode();
string responseBody = await response.Content.ReadAsStringAsync();
Console.WriteLine(responseBody);
}
}
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
}
提示
使用变量时,请在字符串开头添加一个 $ ,如以下示例所示。
public static async void GetBuilds()
{
try
{
var personalaccesstoken = "PATFROMWEB";
using (HttpClient client = new HttpClient())
{
client.DefaultRequestHeaders.Accept.Add(
new System.Net.Http.Headers.MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic",
Convert.ToBase64String(
System.Text.ASCIIEncoding.ASCII.GetBytes(
string.Format("{0}:{1}", "", personalaccesstoken))));
using (HttpResponseMessage response = client.GetAsync(
$"https://dev.azure.com/{organization}/{project}/_apis/build/builds?api-version=5.0").Result)
{
response.EnsureSuccessStatusCode();
string responseBody = await response.Content.ReadAsStringAsync();
Console.WriteLine(responseBody);
}
}
}
catch (Exception ex)
{
Console.WriteLine(ex.ToString());
}
}
代码正常工作时,最好从基本身份验证切换到 OAuth。
有关如何使用 PAT 的详细信息和示例,请参阅以下文章:
如果为 TFS 启用 IIS 基本身份验证,则 PAT 无效。 有关详细信息,请参阅 将 IIS 基本身份验证与本地 TFS 配合使用。
修改 PAT
可以重新生成或扩展 PAT,并修改其 范围。 重新生成后,不再授权上一个 PAT。
在主页中,打开用户设置
,然后选择 “配置文件”。
在“安全性”下,选择 “个人访问令牌”。 选择要修改的令牌,然后选择 “编辑”。
编辑令牌名称、它应用于的组织、令牌过期或与令牌关联的访问范围,然后选择“ 保存”。
撤销 PAT
由于各种原因,可以随时撤销 PAT。
在主页中,打开用户设置
,然后选择 “配置文件”。在“安全性”下,选择 “个人访问令牌”。 选择要撤消访问权限的令牌,然后选择“ 撤消”。
在确认对话框中选择 “撤消 ”。
相关文章
常见问题解答
问:如果用户帐户被禁用,PAT 会发生什么情况?
答:从 Azure DevOps 中删除用户后,PAT 在 1 小时内失效。 如果组织连接到 Azure Active Directory (Azure AD) ,则 PAT 也会在 Azure AD 中失效,因为它属于用户。 我们建议用户将其 PAT 轮换到另一个用户或服务帐户,以保持服务运行。
问:是否有办法通过 REST API 续订 PAT?
答:是的,可以使用 PAT 生命周期管理 API 续订、管理和创建 PAT。 有关详细信息,请参阅 使用 REST API 管理 PAT 和 常见问题解答。
问:是否可以对所有 Azure DevOps REST API 使用基本身份验证?
答:否。 可以将基本身份验证用于大多数 Azure DevOps REST API,但 组织和配置文件 仅支持 OAuth。 有关详细信息,请参阅 使用 REST API 管理 PAT。
问:如果我意外将 PAT 签入 GitHub 上的公共存储库,会发生什么情况?
答:Azure DevOps 扫描已签入 GitHub 上的公共存储库中的 PAT。 找到泄露的令牌时,我们会立即向令牌所有者发送详细的电子邮件通知,并将事件记录到 Azure DevOps 组织的 审核日志。 我们鼓励受影响的用户通过 轮换或撤销泄漏的 PAT 立即缓解。
有一个用于管理泄露的 PAT 的策略! 有关详细信息,请参阅 自动撤销泄露的 PAT。
问:是否可以使用个人访问令牌作为 ApiKey,使用 dotnet/nuget.exe 命令行将 NuGet 包发布到 Azure Artifacts 源?
答:否。 Azure Artifacts 不支持将个人访问令牌作为 ApiKey 传递。 使用本地开发环境时,建议安装 Azure Artifacts 凭据提供程序以使用 Azure Artifacts 进行身份验证。 有关更多详细信息,请参阅以下示例: dotnet、 NuGet.exe。 若要使用 Azure Pipelines 发布包,请使用 NuGet 身份验证 任务通过源 示例进行身份验证。