Compartir a través de

Uso de tokens de acceso personal

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Un token de acceso personal (PAT) sirve como contraseña alternativa para autenticarse en Azure DevOps. Este PAT le identifica y determina la accesibilidad y el ámbito de acceso. Trate los PAT con el mismo nivel de precaución que las contraseñas.

Cuando utiliza herramientas Microsoft, su cuenta Microsoft (MSA) o Microsoft Entra ID es reconocida y soportada. Si usa herramientas que no admiten cuentas de Microsoft Entra o si prefiere no compartir sus credenciales principales, considere la posibilidad de usar PAT como método de autenticación alternativo. Sin embargo, recomendamos usar tokens de Microsoft Entra en lugar de PAT siempre que sea posible.

Importante

Se recomiendan los tokens de Microsoft Entra más seguros sobre los tokens de acceso personal de mayor riesgo. Obtenga más información sobre nuestros esfuerzos para reducir el uso de PAT. Revise nuestra guía de autenticación para elegir el mecanismo de autenticación adecuado para sus necesidades.

Requisitos previos

Categoría Requisitos
Permisos Permiso para acceder y modificar la configuración de usuario en la que se administran los PAT.
- Vaya a su perfil y seleccione Configuración del usuario>Tokeners de acceso personal. Si puede ver y administrar sus PAT aquí, tiene los permisos necesarios.
- Vaya a su proyecto y seleccione Configuración del proyecto>Permisos. Busque su cuenta de usuario en la lista y compruebe los permisos asignados. Busque permisos relacionados con la administración de tokens o la configuración del usuario.
- Si su organización tiene directivas en vigor, es posible que un administrador tenga que concederle permisos específicos o agregarle a una lista de permitidos para crear y administrar PAT.
- Las PAT están conectadas a la cuenta de usuario que mintió el token. Dependiendo de las tareas que realice el PAT, puede que tú mismo necesites más permisos.
Niveles de acceso Al menos acceso Básico.
Tareas Utilice los PATs solo cuando sea necesario y rótelos regularmente. Consulte nuestra sección sobre procedimientos recomendados al usar PAT.

Creación de un PAT

  1. Inicie sesión en su organización (https://dev.azure.com/{Your_Organization}).

  2. En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.

    Captura de pantalla que muestra la selección de tokens de acceso personal.

  3. Seleccione + New Token (+ Nuevo token).

    Captura de pantalla que muestra la selección, Nuevo token.

  4. Asigne un nombre al token, seleccione la organización en la que desea usar el token y, a continuación, establezca el token para que expire automáticamente después de un número establecido de días.

    Captura de pantalla que muestra la entrada de la información básica del token.

  5. Seleccione los ámbitos de este token para autorizar para tus tareas específicas.

    Por ejemplo, para crear un token para que un agente de compilación y versión se autentique en Azure DevOps, establezca el ámbito del token en Grupos de agentes (leer y administrar). Para leer eventos de registro de auditoría y administrar o eliminar secuencias, seleccione Leer registro de auditoría y, a continuación, seleccione Crear.

    Captura de pantalla que muestra los ámbitos seleccionados para un PAT.

    Nota:

    El administrador puede restringirle la creación de PAT de ámbito completo o limitarlo solo a los PAT de ámbito de empaquetado. Póngase en contacto con el administrador para obtener la lista de permitidos si necesita acceso a más ámbitos. Algunos ámbitos, por ejemplo, vso.governance, podrían no estar disponibles en la interfaz de usuario si no son para un uso público generalizado.

  6. Cuando haya terminado, copie el token y almacénelo en una ubicación segura. Para su seguridad, no se vuelve a mostrar.

    Captura de pantalla que muestra cómo copiar el token en el Portapapeles.

Use el PAT en cualquier lugar donde se requieran las credenciales de usuario para la autenticación en Azure DevOps.

Importante

  • Trate un PAT con la misma precaución que su contraseña y manténgalo confidencial. NO COMPARTA PATS.
  • Para las organizaciones respaldadas por Microsoft Entra ID, deberás iniciar sesión con tu nuevo PAT dentro de un plazo de 90 días o se volverá inactivo. Para obtener más información, consulte Frecuencia de inicio de sesión de usuario para Acceso condicional.

Notificaciones

Durante la vida útil de un PAT, los usuarios reciben dos notificaciones: una cuando se crea el PAT y otros siete días antes de que expire.

Después de crear un PAT, puede recibir una notificación similar al ejemplo siguiente. Esta notificación sirve como confirmación de que el PAT se agregó correctamente a su organización.

Captura de pantalla que muestra la notificación creada por PAT.

Se envía un correo electrónico de notificación de expiración tres días antes de la expiración. Si tu administrador quitó tu capacidad de crear PAT en la organización, el correo electrónico indica que ya no es posible regenerar los PAT. Póngase en contacto con el Administrador de la Colección de Proyectos para incluirse en una lista de aceptación para los permisos continuos para la creación de PAT en esa organización.

Para obtener más información, consulte Configurar un servidor SMTP y personalizar el correo electrónico para las alertas y las solicitudes de comentarios.

Notificación inesperada

Si recibe una notificación PAT inesperada, puede significar que un administrador o una herramienta creó un PAT para usted. Estos son algunos ejemplos:

  • Se crea un token denominado "git: https://dev.azure.com/{Your_Organization} on YourMachine" al conectarse a un repositorio de Git de Azure DevOps a través de git.exe.
  • Un token denominado "Service Hooks: Azure App Service: Implementar aplicación web" se crea cuando usted o un administrador configuran la implementación de una aplicación web de Azure App Service.
  • Un token denominado "WebAppLoadTestCDIntToken" se crea cuando usted o un administrador configuran las pruebas de carga web como parte del proceso de una canalización.
  • Se crea un token denominado "Integración de Microsoft Teams" cuando se configura una extensión de mensajería de integración de Microsoft Teams.

Advertencia

Usar una PAT

Su PAT actúa como identidad digital, de forma muy similar a una contraseña. Puede utilizar los PAT como una forma rápida de realizar solicitudes únicas o crear prototipos de una aplicación localmente. Use un PAT en el código para autenticar las solicitudes de las API REST y automatizar los flujos de trabajo mediante la inclusión del PAT en el encabezado de autorización de la solicitud.

Importante

Una vez que el código de la aplicación esté funcionando, cambia a Microsoft Entra OAuth para adquirir tokens en nombre de los usuarios de tu aplicación o una entidad de servicio o una identidad administrada para adquirir tokens como una aplicación. No se recomienda seguir ejecutando aplicaciones o scripts con PAT a largo plazo. Los tokens de Microsoft Entra se pueden usar en cualquier lugar en el que se use un PAT. Considere la posibilidad de adquirir un token de Microsoft Entra a través de la CLI de Azure para las solicitudes ad hoc.

Para proporcionar el PAT a través de un encabezado HTTP, primero debe convertirlo en una Base64 cadena. A continuación, se puede proporcionar como un encabezado HTTP en el formato siguiente.


Authorization: Basic BASE64_USERNAME_PAT_STRING

Modificación de un PAT

Siga estos pasos para:

  • Vuelva a generar un PAT para crear un nuevo token, que invalida el anterior.
  • Amplíe un PAT para aumentar su período de validez.
  • Modifique el ámbito de un PAT para cambiar sus permisos.

  1. En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.

  2. Seleccione el token que desea modificar y, a continuación , Editar.

    Captura de pantalla que muestra el botón Editar resaltado para modificar PAT.

  3. Edite el nombre del token, la expiración del token o el ámbito de acceso asociado al token y, a continuación, seleccione Guardar.

    Captura de pantalla que muestra PAT modificado.

Revocar un PAT

Puede revocar un PAT en cualquier momento por estos y otros motivos:

  • Revoque un PAT si sospecha que está en peligro.
  • Revoque un PAT cuando ya no sea necesario.
  • Revoque un PAT para aplicar directivas de seguridad o requisitos de cumplimiento.

  1. En la página principal, abra la configuración de usuario y seleccione Tokens de acceso personal.

  2. En Seguridad, seleccione Tokens de acceso personal. Seleccione el token para el que desea revocar el acceso y, a continuación, seleccione Revocar.

    Captura de pantalla que muestra la selección para revocar un solo token o todos los tokens.

  3. Seleccione Revocar en el cuadro de diálogo de confirmación.

    Captura de pantalla que muestra la pantalla de confirmación para revocar PAT.

API de administración del ciclo de vida de PAT

Las APIs de administración del ciclo de vida de los PAT pueden ser útiles cuando resulta insostenible mantener grandes volúmenes de tokens a través de la interfaz de usuario. La administración de la rotación de PAT también abre mediante programación la oportunidad de rotar los PAT con regularidad y acortar sus duraciones predeterminadas. Nuestra aplicación de Python de ejemplo se puede configurar con tu entidad de Microsoft Entra y la organización de Azure DevOps.

Algunas cosas que hay que tener en cuenta sobre estas API:

  • Los tokens de acceso de Microsoft Entra son necesarios para acceder a esta API, ya que, por lo general, se recomienda una forma más segura de autenticación al usar nuevos tokens.
  • Solo los usuarios o aplicaciones que usan un flujo "en nombre del usuario" pueden generar PAT. Las aplicaciones que usan flujos "en nombre de la aplicación" o flujos de autenticación que no emiten tokens de acceso de Microsoft Entra no son válidos para su uso con esta API. Por lo tanto, los principales de servicio o las identidades administradas no pueden crear ni administrar PATs.
  • Anteriormente, las API de administración del ciclo de vida de PAT solo admitían el user_impersonation ámbito, pero ahora el vso.pats está disponible y es el ámbito recomendado para usar con estas APIs. Restringe todas las aplicaciones que anteriormente utilizaban user_impersonation para llamar a estas API.

Cambios en el formato

A partir de julio de 2024, actualizamos el formato de las cadenas PAT para mejorar la detección de secretos en nuestras herramientas de detección de PAT filtradas y ofertas de asociados. Este nuevo formato PAT incluye bits más identificables para mejorar la tasa de detección de falsos positivos en estas herramientas de detección y mitigar las pérdidas detectadas más rápido.

  • Los nuevos tokens ahora tienen 84 caracteres, con 52 caracteres siendo datos aleatorios, lo que mejora la entropía general, lo que hace que los tokens sean más resistentes a los ataques por fuerza bruta.
  • Los tokens emitidos por nuestro servicio incluyen una firma fija AZDO en las posiciones 76-80.

Si usa un PAT emitido antes de esos datos, vuelva a generar el PAT. Si se integra con PAT y tiene integrada la validación de PAT, actualice el código de validación para dar cabida a longitudes de token nuevas y existentes.

Advertencia

Ambos formatos siguen siendo válidos para el futuro previsible. A medida que aumenta la adopción del nuevo formato, podríamos retirar los antiguos PATs de 52 caracteres.

Mejores prácticas para el uso de PAT

Considere alternativas

  • Adquiera un token de Microsoft Entra a través de la CLI de Azure para las solicitudes ad hoc en lugar de crear un PAT de larga duración.
  • Use gestores de credenciales como Git Credential Manager o Azure Artifacts Credential Manager para simplificar la gestión de credenciales, con la autenticación configurada en oauth o en tokens de Microsoft Entra.

Creación de PATs

  • No coloques tus datos personales en el nombre PAT. No cambie el nombre del PAT para incluir algunos o todos los tokens de PAT reales.
  • Evite crear PAT globales a menos que sea necesario en todas las organizaciones.
  • Use un token diferente por flujo o caso de usuario.
  • Seleccione solo los ámbitos mínimos necesarios para cada PAT. Conceda el privilegio mínimo necesario para su tarea específica y cree PAT independientes con ámbitos limitados para distintos flujos de trabajo en lugar de usar un único token de ámbito amplio. Si el PAT necesita permisos de solo lectura, no proporcione permisos de escritura hasta que sea necesario.
  • Mantenga la vida útil de PAT corta (semanales son ideales, incluso más corta es mejor).

Administración de PAT

  • ¡No compartas tus PAT!
  • Almacene los PAT en una solución de administración de claves segura, como Azure KeyVault.
  • Gire o regenere periódicamente sus PAT a través de la interfaz de usuario o de las API de administración del ciclo de vida de PAT.
  • Revoque los PAT cuando ya no sea necesario.
  • Rote los PAT para usar el nuevo formato de PAT, lo que permite una mejor detección y revocación de secretos filtrados mediante nuestras herramientas propias.

Para administradores

Preguntas más frecuentes

P: ¿Por qué no puedo editar o volver a generar un PAT con ámbito en una sola organización?

A: Inicie sesión en la organización donde se encuentra el ámbito de su PAT. Puede ver sus PAT cuando inicie sesión en cualquier organización dentro del mismo Microsoft Entra ID al cambiar el filtro de ámbito de acceso, pero solo puede editar los tokens con ámbito de organización cuando inicie sesión en la organización específica.

P: ¿Qué ocurre con un PAT si una cuenta de usuario está deshabilitada?

R: Cuando se quita un usuario de Azure DevOps, el PAT invalida en un plazo de 1 hora. Si su organización está conectada a Microsoft Entra ID, el PAT también se invalida en Microsoft Entra ID, ya que pertenece al usuario. Se recomienda rotar el PAT a otra cuenta de usuario o servicio para mantener los servicios en ejecución.

P: ¿Puedo utilizar PAT con todas las API REST de Azure DevOps?

R: No. Puede usar PAT con la mayoría de las API REST de Azure DevOps, pero las organizaciones y los perfiles y las API de ciclo de vida de administración de PAT solo admiten tokens de Microsoft Entra.

P: ¿Qué ocurre si se comprueba accidentalmente mi PAT en un repositorio público en GitHub?

A: Azure DevOps analiza en busca de PAT en repositorios públicos en GitHub. Cuando encontramos un token filtrado, enviamos inmediatamente una notificación por correo electrónico detallada al propietario del token y registramos un evento en el registro de auditoría de la organización de Azure DevOps. Animamos a los usuarios afectados a mitigar el problema revocando el token filtrado y reemplazandolo por un nuevo token.

A menos que deshabilite la directiva Revocar automáticamente los tokens de acceso personal filtrados, revocamos inmediatamente el PAT filtrado. Para obtener más información, consulte Revocación automática de PAT filtrados.

P: ¿Puedo usar un token de acceso personal como ApiKey para publicar paquetes NuGet en una fuente de Azure Artifacts mediante la línea de comandos dotnet/nuget.exe?

R: No. Azure Artifacts no admite pasar un PAT como una clave de API. Al usar un entorno de desarrollo local, se recomienda instalar el Proveedor de credenciales de Azure Artifacts para autenticarse con Azure Artifacts. Para obtener más información, vea los ejemplos siguientes: dotnet, NuGet.exe. Si quiere publicar sus paquetes utilizando Azure Pipelines, use la tarea NuGet Authenticate para autenticarse con su feed. Vea el ejemplo.

P: ¿Por qué mi PAT detuvo el trabajo?

R: La autenticación PAT requiere que debe iniciar sesión de manera periódica en Azure DevOps utilizando el flujo de autenticación completo. Iniciar sesión una vez cada 30 días es suficiente para muchos usuarios, pero es posible que tenga que iniciar sesión con más frecuencia en función de la configuración de Microsoft Entra. Si el PAT deja de funcionar, intente iniciar sesión en su organización y complete el mensaje de autenticación completo. Si el PAT sigue sin funcionar, compruebe si ha expirado.

La habilitación de la autenticación básica de IIS invalida el uso de PAT para Azure DevOps Server. Se recomienda mantener la autenticación básica de IISdesactivada siempre.

Advertencia

Si usa Git con autenticación básica de IIS, Git se interrumpe porque requiere PAT para la autenticación de usuario. Puede agregar un encabezado adicional a las solicitudes de Git para usarlo con la autenticación básica de IIS, pero no se recomienda esta acción. El encabezado adicional debe usarse para todas las instalaciones de Azure DevOps Server, ya que La autenticación de Windows también impide el uso de PAT. El encabezado adicional también debe incluir una codificación base 64 de user:PAT.

git -c http.extraheader='Authorization: Basic [base 64 encoding of "user:password"]' ls-remote http://tfsserver:8080/tfs/DefaultCollection/_git/projectName

P: ¿Cómo se crean tokens de acceso que no están vinculados a una persona?

R: Todos los PAT están asociados a la identidad de usuario que la creó. Las aplicaciones no pueden crear PAT.

En Azure DevOps, puede generar tokens de acceso que no estén vinculados a un usuario específico mediante tokens de Microsoft Entra emitidos por una entidad de servicio de aplicación o una identidad administrada. En el caso de las canalizaciones, use conexiones de servicio para autenticar y autorizar tareas automatizadas de forma segura sin depender de credenciales específicas del usuario.

P: ¿Cómo puedo volver a generar o girar pats a través de la API? Vi esa opción en la interfaz de usuario, pero no veo un método similar en la API.

La funcionalidad "Regenerar" disponible en la interfaz de usuario realiza realmente algunas acciones, que se pueden replicar a través de la API.

Para rotar el PAT, siga estos pasos:

  1. Consulte metadatos de PAT con una llamada GET .
  2. Cree un nuevo PAT con el identificador de PAT anterior mediante una llamada POST .
  3. Revoque el PAT antiguo mediante una llamada DELETE .

P: Veo una ventana emergente "Necesita aprobación de administrador" cuando intento usar una aplicación de Microsoft Entra para acceder a las API de administración del ciclo de vida de PAT.

Las directivas de seguridad del inquilino requieren el consentimiento del administrador para que las aplicaciones puedan acceder a los recursos de la organización. Póngase en contacto con el administrador de inquilinos.

P: ¿Puedo usar una entidad de servicio para crear o administrar PAT?

No, los tokens de acceso personal pertenecen a una identidad de usuario. Las entidades de servicio o identidades administradas de Microsoft Entra pueden generar tokens de corta duración de Microsoft Entra que se pueden usar en la mayoría de los lugares donde se acepta un token de acceso personal (PAT). Obtenga más información sobre nuestros esfuerzos para reducir el uso de PAT en Azure DevOps y explorar la sustitución de PAT por tokens de Microsoft Entra.