Используйте личные токены доступа

Чтобы предоставить PAT через заголовок HTTP, необходимо сначала преобразовать его в Base64 строку. Затем его можно предоставить в виде заголовка HTTP в следующем формате.

Authorization: Basic BASE64_USERNAME_PAT_STRING

В следующем примере показано, как получить список сборок с помощью curl.

curl -u :{PAT} https://dev.azure.com/{organization}/_apis/build-release/builds

Измените ПАТ

Выполните следующие действия.

• Создайте новый ПАТ, чтобы сгенерировать новый токен, что делает предыдущий недействительным.
• Продлите срок действия PAT для увеличения его продолжительности.
• Измените область ПАТ, чтобы изменить его разрешения.

1. На домашней странице откройте параметры пользователя и выберите личные маркеры доступа.

2. Выберите маркер, который нужно изменить, а затем измените.

   

3. Измените имя маркера, срок действия маркера или область доступа, связанную с маркером, а затем нажмите кнопку "Сохранить".

   

Отзыв персонального токена доступа (ПАТ)

Вы можете отозвать PAT в любое время по следующим и другим причинам:

• Отмените персональный токен доступа (ПАТ), если вы подозреваете, что он скомпрометирован.
• Отмените ПАТ, если он больше не нужен.
• Отмените ПАТ для применения политик безопасности или обеспечения соответствия требованиям.

1. На домашней странице откройте параметры пользователя и выберите личные маркеры доступа.

2. В разделе "Безопасность" выберите личные маркеры доступа. Выберите маркер, для которого требуется отозвать доступ, а затем нажмите кнопку "Отозвать".

   

3. Выберите " Отменить" в диалоговом окне подтверждения.

   

API управления жизненным циклом PAT

API управления жизненным циклом PAT могут быть полезны при управлении большими объемами токенов, когда использование интерфейса становится нецелесообразным. Управление заменой PAT программным образом также открывает возможность регулярно менять PAT и сократить их срок действия по умолчанию. Пример приложения Python можно настроить с помощью клиента Microsoft Entra и организации Azure DevOps.

Некоторые сведения об этих API:

• Маркеры доступа Microsoft Entra необходимы для доступа к этому API, так как обычно рекомендуется более надежная форма проверки подлинности при создании новых маркеров.
• Только пользователи или приложения, использующие поток "от имени пользователя", могут создавать PATs. Приложения, использующие потоки "от имени приложения" или потоки проверки подлинности, которые не выдают маркеры доступа Microsoft Entra, недопустимы для использования с этим API. Таким образом, субъекты службы или управляемые удостоверения не могут создавать или управлять PATs.
• Ранее API управления жизненным циклом PAT поддерживали только user_impersonation области, а теперь доступны vso.tokens, которые являются рекомендуемыми областями для использования с этими API. Ограничьте все приложения, которые ранее зависели от user_impersonation для вызова этих API.

Изменения в формате

По состоянию на июль 2024 года мы обновили формат строк PAT, чтобы улучшить обнаружение секретных данных в наших инструментах для обнаружения утечек PAT и решениях партнеров. Этот новый формат PAT включает более идентифицируемые биты, чтобы повысить скорость обнаружения ложноположительных результатов в этих средствах обнаружения и снизить обнаруженные утечки быстрее.

• Новые маркеры теперь длиной 84 символов, при этом 52 символа являются случайными данными. Это повышает общую энтропию, тем самым делая токены более устойчивыми к атакам методом перебора.
• Токены, выданные нашей службой, включают фиксированную AZDO подпись на позициях 76-80.

Если вы используете PAT, выданный до этой даты, пересоздайте PAT. Если вы интегрируетесь с PATs и имеете встроенную проверку, обновите код валидации, чтобы поддерживать как новые, так и существующие длины токенов.

Рекомендации по использованию PAT

Рассмотрим альтернативные варианты

• Получите токен Microsoft Entra с помощью Azure CLI для одноразовых запросов вместо создания более длительного PAT.
• Используйте диспетчеры учетных данных, такие как диспетчер учетных данных Git или Диспетчер учетных данных Azure Artifacts , чтобы упростить управление учетными данными с использованием маркеров проверки подлинности oauth или токенов Microsoft Entra.

Создание PATов

• Не включайте персональные данные в имя PAT. Не переименовывайте имя PAT так, чтобы в нём фигурировал некоторый или весь фактический токен PAT.
• Избегайте создания глобальных PAT, если это не требуется во всех организациях.
• Используйте другой маркер для каждого потока или пользовательского варианта.
• Выберите минимально необходимые области доступа для личного токена доступа (PAT). Создайте отдельный PAT с меньшим количеством областей для каждого потока, а не один полноуровневый PAT для всех потоков. Если вашему PAT требуются разрешения только для чтения, не предоставьте разрешения на запись до тех пор, пока не потребуется.
• Держите срок жизни PAT коротким (еженедельный срок идеально, ещё короче — даже лучше).

Управление PAT

• Не делитесь своими PAT!
• Сохраните PATs в безопасном решении для управления ключами, например, в Azure KeyVault.
• Регулярно обновляйте или пересоздавайте ваши PAT с помощью пользовательского интерфейса или API управления жизненным циклом PAT.
• Отмените PATs, когда в них больше нет необходимости.
• Поверните свои PAT, чтобы использовать новый формат PAT для улучшения обнаружения утечек секретов и аннуляции нашими внутренними инструментами.

Для администраторов

• Администраторы арендаторов могут задавать политики для ограничения создания глобальных PAT, создания полностью охваченных PAT и длительности ПАТ.
• Администраторы арендатора могут отозвать ПАТ для пользователей организации, если ПАТ скомпрометирован.
• Администраторы организации могут ограничить создание PAT в организации. Если PATs по-прежнему необходимы, ограничьте их создание только элементами из списка разрешений.

Вопросы и ответы

Вопрос. Почему не удается изменить или повторно создать область PAT, ограниченную одной организацией?

Войдите в организацию, где охвачен ваш PAT. Вы можете просматривать все ваши PATs, войдя в любую организацию из той же учетной записи Microsoft Entra ID, изменив фильтр области доступа, но можете редактировать токены, ограниченные определенной организацией, только когда вы вошли в эту конкретную организацию.

Вопрос. Что происходит с PAT, если учетная запись пользователя отключена?

Ответ. Если пользователь удаляется из Azure DevOps, pat недействителен в течение 1 часа. Если ваша организация подключена к идентификатору Microsoft Entra, PAT также является недействительным в идентификаторе Microsoft Entra, так как он принадлежит пользователю. Рекомендуется сменить PAT на другого пользователя или учетную запись службы, чтобы поддерживать работу служб.

Вопрос: Можно ли использовать PAT со всеми REST API Azure DevOps?

Ответ. Нет. Вы можете использовать PATs с большинством REST API Azure DevOps, но организации и профили и API жизненного цикла управления PAT поддерживают только токены Microsoft Entra.

Вопрос. Что произойдет, если я случайно залью свой персональный токен доступа в общедоступный репозиторий на GitHub?

Ответ. Azure DevOps проверяет наличие PAT, зарегистрированных в общедоступных репозиториях на GitHub. Когда мы найдем утечку маркера, мы немедленно отправим подробное уведомление по электронной почте владельцу маркера и регистрируем событие в журнале аудита организации Azure DevOps. Мы рекомендуем пострадавшим пользователям устранить проблему, отменив утечку маркера и заменив его новым маркером.

Если вы не отключили политику автоматического отзыва утекших личных маркеров доступа , мы немедленно отзываем утекший PAT. Дополнительные сведения см. в статье "Автоматическое отзыв утекших персональных токенов доступа (PAT)".

Вопрос: Можно ли использовать токен личного доступа в качестве ApiKey для публикации пакетов NuGet в фид артефактов Azure с помощью командной строки dotnet/nuget.exe?

Ответ. Нет. Артефакты Azure не поддерживают передачу PAT в качестве ApiKey. При использовании локальной среды разработки рекомендуется установить поставщика учетных данных для Azure Artifacts для аутентификации в Azure Artifacts. Дополнительные сведения см. в следующих примерах: dotnet, NuGet.exe. Если вы хотите опубликовать свои пакеты с помощью Azure Pipelines, используйте задачу NuGet Authenticate для аутентификации в своём потоке. См. пример .

Вопрос. Почему мой PAT перестал работать?

Ответ. Проверка подлинности PAT требует регулярного входа в Azure DevOps с помощью полного потока проверки подлинности. Один вход раз в 30 дней достаточен для многих пользователей, но, возможно, в зависимости от конфигурации Microsoft Entra, может возникнуть необходимость войти чаще. Если ваш PAT перестаёт работать, сначала попробуйте войти в свою организацию и пройти полную проверку подлинности. Если ваш PAT по-прежнему не работает, проверьте, истек ли срок действия.

Включение базовой аутентификации IIS делает невозможным использование личных токенов доступа (PAT) для Azure DevOps Server. Рекомендуем всегда оставлять базовую проверку подлинности IISотключенной.

git -c http.extraheader='Authorization: Basic [base 64 encoding of "user:password"]' ls-remote http://tfsserver:8080/tfs/DefaultCollection/_git/projectName

Вопрос. Как создать маркеры доступа, которые не привязаны к пользователю?

Все PAT связаны с учетной записью пользователя, создавшего их. Приложения не могут создавать PAT.

В Azure DevOps можно создать токены доступа, которые не привязаны к конкретному лицу, с помощью токенов Microsoft Entra, выпущенных представителем приложения или управляемым удостоверением. В конвейере используйте подключения служб.

Вопрос. Как повторно создать или повернуть PATs через API? Я видел этот параметр в пользовательском интерфейсе, но в API не отображается аналогичный метод.

Функция "Повторное создание", доступная в пользовательском интерфейсе, фактически выполняет несколько действий, которые можно реплицировать через API.

Чтобы повернуть PAT, сделайте следующее:

1. См. метаданные PAT с вызовом GET ,
2. Создайте новый PAT с старым идентификатором PAT с помощью вызова POST ,
3. Отмените старый PAT с помощью вызова DELETE .

Вопрос. Я вижу всплывающее окно "Требуется утверждение администратора", когда я пытаюсь использовать приложение Entra для вызова API управления жизненным циклом PAT.

Политики безопасности клиента требуют согласия администратора, прежде чем приложения могут получить доступ к ресурсам организации в организации. Обратитесь к администраторам арендатора.

Вопрос. Можно ли использовать субъект-службу для создания или управления PAT?

Нет, персональные токены доступа принадлежат учетной записи пользователя. Служебные принципы или управляемые удостоверения могут создавать кратковременные маркеры Entra, которые можно использовать в большинстве мест, где принимается PAT. Узнайте больше о наших усилиях по сокращению использования PAT в Azure DevOps и изучении замены PATs маркерами Entra.

Связанные статьи

• Использование политик для управления личными маркерами доступа для пользователей
• Отмена пользовательских PATS (для администраторов)
• Проверка подлинности с помощью токенов Microsoft Entra