Partilhar via

Revogar tokens de acesso pessoal para utilizadores da organização

  • Artigo

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se um Token de Acesso Pessoal (PAT) for comprometido, é crucial agir rapidamente. Os administradores podem revogar a PAT de um utilizador para proteger a organização. A desativação da conta de um usuário também revoga o PAT.

Por que revogar os PATs do usuário?

A revogação dos PATs dos utilizadores é essencial pelas seguintes razões:

  • Token comprometido: impeça o acesso não autorizado se um token for comprometido.
  • Usuário sai da organização: garanta que ex-funcionários não tenham mais acesso.
  • Alterações de permissão: invalide tokens que refletem permissões antigas.
  • Violação de segurança: Atenue o acesso não autorizado durante uma violação.
  • Práticas de segurança regulares: revogue e reemita tokens regularmente como parte de uma política de segurança.

Pré-requisitos

Permissões: seja membro do grupo Administradores da Coleção de Projetos. Os proprietários da organização são automaticamente membros deste grupo.

Gorjeta

Para criar ou revogar seus próprios PATs, consulte Criar ou revogar PATs.

Revogar PATs

  1. Para revogar autorizações OAuth, incluindo PATs, para os usuários da sua organização, consulte Revogações de token - Revogar autorizações.
  2. Para automatizar a chamada da API REST, use esse script do PowerShell, que passa uma lista de UPNs (nomes principais do usuário). Se você não souber o UPN do usuário que criou o PAT, use este script com um intervalo de datas especificado.

Nota

Quando você usa um intervalo de datas, todos os tokens da Web JSON (JWTs) também são revogados. Qualquer ferramenta que dependa desses tokens não funciona até ser atualizada com novos tokens.

  1. Depois de revogar com êxito os PATs afetados, informe os usuários. Eles podem recriar seus tokens conforme necessário.

Pode haver um atraso de até uma hora antes que a PAT fique inativa, pois esse período de latência persiste até que a operação de desativação ou exclusão seja totalmente processada no Microsoft Entra ID.

Expiração do token FedAuth

Um token FedAuth é emitido quando você faz login. É válido para uma janela deslizante de sete dias. A expiração estende-se automaticamente por mais sete dias sempre que o atualizar dentro da janela deslizante. Se os utilizadores acedem ao serviço regularmente, apenas é necessário um início de sessão. Após um período de inatividade que se estende por sete dias, o token torna-se inválido e o usuário deve entrar novamente.

Validade da PAT

Os usuários podem escolher uma data de validade para o seu PAT, não superior a um ano. Recomendamos o uso de períodos de tempo mais curtos e a geração de novos PATs após o vencimento. Os usuários recebem um e-mail de notificação uma semana antes do token expirar. Os usuários podem gerar um novo token, estender a expiração do token existente ou alterar o escopo do token existente, se necessário.

Registos de auditoria

Se sua organização estiver conectada ao Microsoft Entra ID, você terá acesso a logs de auditoria que rastreiam vários eventos, incluindo alterações de permissões, recursos excluídos e acesso ao log. Esses logs de auditoria são valiosos para verificar revogações ou investigar qualquer atividade. Para obter mais informações, consulte Acesso, exportação e filtro de logs de auditoria.

Perguntas mais frequentes (FAQ)

P: O que acontece a uma PAT se um utilizador sair da minha empresa?

R: Quando um usuário é removido do Microsoft Entra ID, os tokens PATs e FedAuth são invalidados em uma hora, já que o token de atualização é válido apenas por uma hora.

P: Devo revogar tokens da web JSON (JWTs)?

R: Se você tem JWTs que você acredita que devem ser revogados, recomendamos fazê-lo imediatamente. Revogar JWTs emitidos como parte do fluxo OAuth usando o script do PowerShell. Certifique-se de usar a opção de intervalo de datas no script.