Uso de tokens de acceso personal

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Un token de acceso personal (PAT) sirve como contraseña alternativa para autenticarse en Azure DevOps. Este PAT le identifica y determina la accesibilidad y el ámbito de acceso. Trate los PAT con el mismo nivel de precaución que las contraseñas.

Cuando se usan herramientas de Microsoft, se reconoce y admite su cuenta de Microsoft o el identificador de Microsoft Entra. Si usa herramientas que no admiten cuentas de Microsoft Entra o si prefiere no compartir sus credenciales principales, considere la posibilidad de usar PAT como método de autenticación alternativo.

Requisitos previos

Creación de un PAT

2. En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.

   

3. Seleccione + New Token (+ Nuevo token).

   

4. Asigne un nombre al token, seleccione la organización en la que desea usar el token y, a continuación, establezca el token para que expire automáticamente después de un número establecido de días.

   

5. Seleccione los ámbitos de este token para autorizar para tus tareas específicas.

   Por ejemplo, para crear un token para que un agente de compilación y versión se autentique en Azure DevOps, establezca el ámbito del token en Grupos de agentes (leer y administrar). Para leer eventos de registro de auditoría y administrar o eliminar secuencias, seleccione Leer registro de auditoría y, a continuación, seleccione Crear.

   

   El administrador puede restringirle la creación de PAT de ámbito completo o limitarlo solo a los PAT de ámbito de empaquetado. Póngase en contacto con su administrador para que lo añadan a la lista de permitidos si necesita acceso a más permisos. Algunos ámbitos, por ejemplo, vso.governance, podrían no estar disponibles en la interfaz de usuario (UI) si no son para uso público generalizado.

6. Cuando haya terminado, copie el token y almacénelo en una ubicación segura. Para su seguridad, no se vuelve a mostrar.

   

Puede usar su PAT en cualquier lugar en el que se requieran las credenciales de usuario para la autenticación en Azure DevOps. Recordar:

• Trate un PAT con la misma precaución que su contraseña y manténgalo confidencial. No compartas PATs.
• En el caso de las organizaciones respaldadas por Microsoft Entra ID, inicie sesión con el nuevo PAT en un plazo de 90 días o se volverá inactivo. Para obtener más información, consulte Frecuencia de inicio de sesión del usuario para el acceso condicional.

Notificaciones

Durante la vida útil de un PAT, los usuarios reciben dos notificaciones: una cuando se crea el PAT y otra antes de que expire.

Después de crear un PAT, puede recibir una notificación similar al ejemplo siguiente. Esta notificación sirve como confirmación de que el PAT se agregó correctamente a su organización.

Se envía un correo electrónico de notificación de expiración antes de que expire el token. Si tu administrador quitó tu capacidad de crear PAT en la organización, el correo electrónico indica que ya no es posible regenerar los PAT. Póngase en contacto con el administrador de la colección de proyectos para incluirse en una lista de permitidos para los permisos de creación de PAT continuos en esa organización.

Notificación inesperada

Si recibe una notificación PAT inesperada, puede significar que un administrador o una herramienta creó un PAT para usted. Estos son algunos ejemplos:

• Se crea un token denominado git: https://dev.Azure.com/{yourorganization} on YourMachine al conectarse a un repositorio de Git de Azure DevOps a través de git.exe.
• Se crea un token denominado Service Hooks: Azure App Service: Deploy web app cuando usted o un administrador configuran una implementación de aplicaciones web de Azure App Service.
• Se crea un token denominado WebAppLoadTestCDIntToken cuando usted o un administrador configuran pruebas de carga web como parte de una canalización.
• Se crea un token denominado Microsoft Teams Integration cuando se configura una extensión de mensajería de integración de Microsoft Teams.

Si cree que la situación es grave:

• Revoque el PAT (y cambie la contraseña) si sospecha que existe en error.
• Consulte con su administrador si es usuario de Microsoft Entra para ver si un origen o ubicación desconocidos accedieron a su organización.
• Revise las preguntas más frecuentes sobre las comprobaciones accidentales de PAT en los repositorios públicos de GitHub.

Usar una PAT

Su PAT actúa como identidad digital, de forma muy similar a una contraseña. Puede usar PAT como una manera rápida de realizar solicitudes únicas o crear prototipos de una aplicación localmente. Use un PAT en el código para autenticar solicitudes de API REST y automatizar flujos de trabajo mediante la inclusión del PAT en el encabezado de autorización de la solicitud.

Una vez que el código de la aplicación funcione, cambie a Microsoft Entra OAuth para adquirir tokens para los usuarios de la aplicación o una entidad de servicio o una identidad administrada para adquirir tokens como una aplicación. No siga ejecutando aplicaciones o scripts con PAT a largo plazo. Puede usar tokens de Microsoft Entra en cualquier lugar en el que se use un PAT.

Considere la posibilidad de adquirir un token de Microsoft Entra a través de la CLI de Azure para solicitudes no planeadas.

Authorization: Basic BASE64_USERNAME_PAT_STRING

curl -u :{PAT} https://dev.azure.com/{organization}/_apis/build-release/builds

Modificación de un PAT

Siga estos pasos para:

• Vuelva a generar un PAT para crear un nuevo token, que invalida el anterior.
• Amplíe un PAT para aumentar su período de validez.
• Modifique el ámbito de un PAT para cambiar sus permisos.

1. En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.

2. Seleccione el token que desea modificar y, a continuación, seleccione Editar.

   

3. Edite el nombre del token, la expiración del token o el ámbito de acceso asociado al token y, a continuación, seleccione Guardar.

   

Revocar un PAT

Puede revocar un PAT en cualquier momento por estos y otros motivos:

• Vulneración de seguridad: Revoque un PAT inmediatamente si sospecha que se ha comprometido, filtrado o expuesto en registros o repositorios públicos.
• Ya no es necesario: Revoque un PAT cuando finalice el proyecto, el servicio o la integración para los que se creó.
• Cumplimiento de políticas: Revoque un PAT para hacer cumplir las políticas de seguridad, los requisitos de cumplimiento o los calendarios de rotación de tokens de la organización.
• Cambios de usuario: Revoque un PAT cuando un miembro del equipo deje la organización o cambie los roles y ya no necesite acceso.
• Reducción del ámbito: Revoque y vuelva a crear un PAT con permisos reducidos cuando necesite limitar sus funcionalidades de acceso.
• Mantenimiento normal: Revoque un PAT como parte de la higiene de seguridad rutinaria y la administración del ciclo de vida de tokens.

Para revocar un PAT, siga estos pasos:

1. En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.

2. En Seguridad, seleccione Tokens de acceso personal. Seleccione el token para el que desea revocar el acceso y, a continuación, seleccione Revocar.

   

3. En el cuadro de diálogo Confirmación , seleccione Revocar.

   

API de administración del ciclo de vida de PAT

Las API de administración del ciclo vital de PAT pueden ser útiles cuando mantener grandes volúmenes de tokens a través de la interfaz de usuario es insostenible. La administración de la rotación de PAT también abre mediante programación la oportunidad de rotar los PAT con regularidad y acortar sus duraciones predeterminadas. Puede configurar la aplicación de Python de ejemplo con el inquilino de Microsoft Entra y la organización de Azure DevOps.

Algunas cosas que hay que tener en cuenta sobre estas API:

• Los tokens de acceso de Microsoft Entra son necesarios para acceder a esta API. Use una forma más segura de autenticación al usar nuevos tokens.
• Solo los usuarios o aplicaciones que usan un flujo "en nombre del usuario" pueden generar PAT. Las aplicaciones que usan flujos "en nombre de la aplicación" o flujos de autenticación que no emiten tokens de acceso de Microsoft Entra no son válidos para su uso con esta API. Por lo tanto, los principales de servicio o las identidades administradas no pueden crear ni administrar PATs.
• Anteriormente, las API de administración del ciclo de vida de PAT solo admitieron el user_impersonation ámbito, pero ahora vso.pats están disponibles y son el ámbito recomendado para usarlo con estas API. Restrinja todas las aplicaciones que anteriormente utilizaban user_impersonation para llamar a estas API.

Formato PAT

Las cadenas PAT usan un formato específico diseñado para mejorar la detección de secretos en las herramientas de detección de PAT filtradas y ofertas de socios. El formato incluye bits identificables que mejoran la tasa de detección de falsos positivos y permiten la mitigación más rápida de las fugas detectadas.

• Los tokens tienen 84 caracteres, con 52 caracteres siendo datos aleatorios, lo que mejora la entropía general. Los tokens son resistentes a los ataques por fuerza bruta.
• Los tokens emitidos por Azure DevOps incluyen una firma fija AZDO en las posiciones 76-80.

Si se integra con PAT y tiene integrada la validación de PAT, asegúrese de que el código de validación admite la longitud del token de 84 caracteres.

Mejores prácticas para el uso de PAT

Considere alternativas

• Adquiera un token de Microsoft Entra a través de la CLI de Azure para solicitudes no planeadas en lugar de generar un token de acceso personal (PAT) de duración prolongada.
• Use gestores de credenciales como Git Credential Manager o Azure Artifacts Credential Manager para simplificar la gestión de credenciales, con la autenticación configurada en oauth o en tokens de Microsoft Entra.

Creación de PAT

• No coloques tus datos personales en el nombre PAT. No cambie el nombre del PAT para incluir algunos o todos los tokens de PAT reales.
• Evite crear PAT globales a menos que sea necesario en todas las organizaciones.
• Use un token diferente por flujo o caso de uso.
• Seleccione solo los ámbitos mínimos necesarios para cada PAT. Conceda el privilegio mínimo necesario para la tarea específica. Cree PAT independientes con ámbitos limitados para distintos flujos de trabajo en lugar de usar un único token de ámbito amplio. Si el PAT necesita permisos de solo lectura, no proporcione permisos de escritura hasta que sea necesario.
• Mantenga corta la duración de PAT.

Administración de PAT

• ¡No compartas tus PAT!
• Almacene los PAT en una solución de administración de claves segura, como Azure Key Vault.
• Rota o regenera periódicamente tus PAT (Tokens de Acceso Personal) a través de la interfaz de usuario o mediante las API de gestión del ciclo de vida de PAT.
• Revoque los PAT cuando ya no sean necesarios.

Para administradores

• Los administradores de arrendatarios pueden establecer directivas para restringir la creación global de PATs, la creación de PATs con ámbito completo y la duración extendida de PATs.
• Los administradores de inquilinos pueden revocar PAT para los usuarios de su organización si el PAT está comprometido.
• Los administradores de la organización pueden restringir la creación de PAT en una organización. Si los PAT siguen siendo necesarios, limite su creación solo a los PAT que se encuentran en la lista de permitidos.

Preguntas más frecuentes

Q. ¿Por qué no puedo editar o volver a generar un PAT con ámbito en una sola organización?

A. Inicie sesión en la organización donde está configurado el alcance de tu PAT. Puede ver los PAT cuando haya iniciado sesión en cualquier organización con el mismo Microsoft Entra ID cambiando el filtro de ámbito de acceso. Solo usted puede editar tokens con ámbito organizacional cuando haya iniciado sesión en la organización específica.

Q. ¿Qué ocurre con un PAT si una cuenta de usuario está deshabilitada?

A. Cuando se quita un usuario de Azure DevOps, el PAT se invalida en un plazo de una hora. Si su organización está conectada a Microsoft Entra ID, el PAT también se invalida en Microsoft Entra ID porque pertenece al usuario. Gire el PAT a otra cuenta de usuario o servicio para mantener los servicios en ejecución.

Q. ¿Puedo usar PAT con todas las API REST de Azure DevOps?

A. No. Puede usar los PAT con la mayoría de las API REST de Azure DevOps, pero las organizaciones y los perfiles y las API del ciclo de vida de administración de PAT solo admiten tokens de Microsoft Entra.

Q. ¿Qué ocurre si se comprueba accidentalmente mi PAT en un repositorio público en GitHub?

A. Azure DevOps busca PAT filtradas en repositorios públicos de GitHub. Cuando se detecta, Azure DevOps notifica al propietario del token y registra el evento en el registro de auditoría. A menos que se deshabiliten, los PATs filtrados se revocan automáticamente. Para obtener más información, consulte Revocación automática de PAT filtrados.

Q. ¿Puedo usar un token de acceso personal como clave de API para publicar paquetes NuGet en una fuente de Azure Artifacts mediante la línea de comandos dotnet/nuget.exe?

A. No. Azure Artifacts no admite pasar un PAT como una clave de API. Al usar un entorno de desarrollo local, instale el proveedor de credenciales de Azure Artifacts para autenticarse con Azure Artifacts. Para obtener más información, vea los ejemplos siguientes: dotnet y NuGet.exe. Si desea publicar sus paquetes mediante Azure Pipelines, use la tarea Autenticación de NuGet para autenticarse con su fuente de paquetes. Para más información, consulte el ejemplo de Publicación de paquetes NuGet con Azure Pipelines (YAML/classic).

Q. ¿Por qué dejó de funcionar mi PAT?

A. La autenticación pat requiere que inicie sesión periódicamente en Azure DevOps mediante el flujo de autenticación completo. Iniciar sesión una vez cada 30 días es suficiente para muchos usuarios, pero es posible que tenga que iniciar sesión con más frecuencia en función de la configuración de Microsoft Entra. Si el PAT deja de funcionar, pruebe primero a iniciar sesión en su organización y complete la solicitud de autenticación completa. Si el PAT sigue sin funcionar, compruebe si ha expirado.

Para Azure DevOps Server, habilitar la autenticación básica de IIS invalida el uso de PAT. Mantenga desactivada la autenticación básica de IIS.

Q. ¿Cómo se crean tokens de acceso que no están vinculados a un usuario específico?

A. Las PAT siempre están asociadas a la identidad de usuario que las creó. Para usar tokens no vinculados a un usuario específico, utilice tokens de Microsoft Entra emitidos por un principal de servicio de aplicación o una identidad administrada. En el caso de las canalizaciones, use conexiones de servicio para autenticarse sin credenciales específicas del usuario. Obtenga más información sobre cómo reducir el uso de PAT en Azure DevOps.

Q. ¿Cómo puedo volver a generar o girar los PAT a través de la API? Vi esa opción en la interfaz de usuario, pero no veo un método similar en la API.

A. La funcionalidad Regenerar disponible en la interfaz de usuario realmente realiza algunas acciones, que puede replicar a través de una API.

Para rotar el PAT, siga estos pasos:

1. Consulte Metadatos de PAT con una llamada GET .
2. Cree un nuevo PAT con el identificador de PAT anterior mediante una llamada POST .
3. Revoque el PAT antiguo mediante una llamada DELETE .

Q. ¿Cuánto tiempo permanece visible un PAT expirado, revocado o inactivo en la lista de tokens de Azure DevOps?

A. Ya no puede usar ni volver a generar PAT que hayan expirado o revocado. Estos tokens inactivos permanecen visibles durante varios meses después de la expiración o revocación antes de quitarse automáticamente de la pantalla.

Q. ¿Por qué veo un mensaje de "Necesidad de aprobación de administrador" cuando intento usar una aplicación de Microsoft Entra para llamar a las API de administración del ciclo de vida de PAT?

A. Las directivas de seguridad del inquilino requieren consentimiento del administrador para que las aplicaciones puedan acceder a los recursos de la organización. Póngase en contacto con el administrador de inquilinos.

Contenido relacionado

• Uso de directivas para administrar tokens de acceso personal para los usuarios
• Revocación de PAT de usuario (para administradores)
• Autenticación con tokens de Microsoft Entra