Azure devops personal access token expiration
Révoquer les jetons d’accès personnels pour les utilisateurs de l’organisation
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Si un jeton d’accès personnel (PAT) est compromis, il est crucial d’agir rapidement. Les administrateurs peuvent révoquer le PAT d’un utilisateur pour protéger l’organisation. La désactivation du compte d’un utilisateur révoque également son PAT.
Pourquoi révoquer les PAT d’utilisateur ?
La révocation des PAT de l’utilisateur est essentielle pour les raisons suivantes :
- Jeton compromis : Empêcher tout accès non autorisé si un jeton est compromis.
- L’utilisateur quitte l’organisation : Assurez-vous que les anciens employés n’y ont plus accès.
- Modifications des permissions : Invalider les tokens reflétant les anciennes permissions.
- Faille de sécurité : Atténuer accès non autorisé lors d’une atteinte.
- Pratiques de sécurité régulières : Révoquez et réémettez régulièrement des jetons dans le cadre d’une politique de sécurité.
Prérequis
Autorisations : Être membre du groupe Administrateurs de la collection de projets. Les propriétaires d’organisation sont automatiquement membres de ce groupe.
Pour
- révoquer les autorisations OAuth, y compris les PAT, pour les utilisateurs de votre organisation, consultez Révocations de jetons - Révoquer les autorisations.
- Pour automatiser l’appel de l’API REST, utilisez ce script PowerShell, qui transmet une liste de noms d’utilisateur principal (UPN). Si vous ne connaissez pas l’UPN de l’utilisateur qui a créé le PAT, utilisez ce script avec une plage de dates spécifiée.
Remarque
: lorsque vous utilisez une plage de dates, les jetons Web JSON (JWT) sont également révoqués. Tout outillage qui s’appuie sur ces jetons ne fonctionne pas tant qu’il n’est pas actualisé avec de nouveaux jetons.
- Une fois que vous avez révoqué les PAT concernés, informez vos utilisateurs. Ils peuvent recréer leurs jetons si nécessaire.
Il peut y avoir un délai pouvant aller jusqu’à une heure avant que le PAT ne devienne inactif, car cette période de latence persiste jusqu’à ce que l’opération de désactivation ou de suppression soit entièrement traitée dans Microsoft Entra ID.
Expiration du jeton FedAuth
Un jeton FedAuth est émis lorsque vous vous connectez. Il est valable pour une période glissante de sept jours. L’expiration s’étend automatiquement de sept jours supplémentaires chaque fois que vous l’actualisez dans la fenêtre glissante. Si les utilisateurs accèdent régulièrement au service, seule une connexion initiale est nécessaire. Après une période d’inactivité de sept jours, le jeton devient non valide et l’utilisateur doit se connecter à nouveau.
Les
utilisateurs peuvent choisir une date d’expiration pour leur PAT, ne pouvant excéder un an. Nous vous recommandons d’utiliser des périodes plus courtes et de générer de nouveaux PAT à l’expiration. Les utilisateurs reçoivent un e-mail de notification une semaine avant l’expiration du jeton. Les utilisateurs peuvent générer un nouveau jeton, prolonger l’expiration du jeton existant ou modifier l’étendue du jeton existant si nécessaire.
Journaux d’audit
Si votre organisation est connectée à Microsoft Entra ID, vous avez accès aux journaux d’audit qui suivent divers événements, notamment les modifications d’autorisations, les ressources supprimées et l’accès aux journaux. Ces journaux d’audit sont précieux pour vérifier les révocations ou enquêter sur toute activité. Pour plus d’informations, consultez Accéder, exporter et filtrer les journaux d’audit.
Foire aux questions (FAQ)
Q : Qu’advient-il d’un PAT si un utilisateur quitte mon entreprise ?
R : Une fois qu’un utilisateur est supprimé de Microsoft Entra ID, les PAT et les jetons FedAuth sont invalidés dans l’heure, car Le jeton d’actualisation n’est valide que pendant une heure.
Q : Dois-je révoquer les jetons Web JSON (JWT) ?
R : Si vous pensez que les JWT devraient être révoqués, nous vous recommandons de le faire rapidement. Révoquer les JWT émis dans le cadre du flux OAuth à l’aide du script PowerShell. Assurez-vous d’utiliser l’option de plage de dates dans le script.