Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen

Unternehmensbesitzer können den Zugriff auf Ressourcen steuern, indem sie Richtlinien auf personal access tokens anwenden.

In diesem Artikel

Einschränken des Zugriffs durch personal access tokens

Unternehmensbesitzer können verhindern, dass ihre Mitglieder personal access tokens auf Ressourcen zugreifen, die im Besitz des Unternehmens sind. Sie können diese Einschränkungen für personal access tokens (classic) und fine-grained personal access tokens unabhängig mit den folgenden Optionen konfigurieren:

  • Zulassen, dass Organisationen Zugriffsanforderungen konfigurieren: Jede Organisation, die sich im Besitz des Unternehmens befindet, kann entscheiden, ob sie den Zugriff einschränken personal access tokensoder zulassen möchten. Dies ist die Standardeinstellung.
  • **Einschränken des Zugriffs über personal access tokens:**Personal access tokens Kann nicht auf Organisationen zugreifen, die sich im Besitz des Unternehmens befinden. Ssh-Schlüssel, die von diesen personal access tokens erstellt wurden, funktionieren weiterhin. Organisationen können diese Einstellung nicht außer Kraft setzen.
  • **Zugriff über personal access tokens:**Personal access tokens kann auf Organisationen zugreifen, die sich im Besitz des Unternehmens befinden. Organisationen können diese Einstellung nicht außer Kraft setzen.

Standardmäßig ermöglichen Organisationen und Unternehmen den Zugriff durch beide fine-grained personal access tokens und personal access tokens (classic).

Unabhängig von der gewählten Richtlinie hat Personal access tokens Zugriff auf öffentliche Ressourcen innerhalb der von Ihrem Unternehmen verwalteten Organisationen.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicke oben auf der Seite auf Policies.
  3. Klicken Sie unter "Richtlinien" auf Personal access tokens.
  4. Wählen Sie entweder die Registerkarte Differenzierte Token oder Token (klassisch) aus, um diese Richtlinie basierend auf dem Tokentyp zu erzwingen.
  5. Wählen Sie unter Fine-grained personal access tokens "Zugriff auf Ihre Organisationen einschränkenpersonal access tokens (classic)" Ihre Zugriffsrichtlinie aus.
  6. Klicken Sie auf Speichern.

Umsetzen einer Richtlinie zur maximalen Lebensdauer für personal access tokens

Unternehmensbesitzer können sowohl für fine-grained personal access tokens als auch für personal access tokens (classic) die maximale Lebensdauer festlegen und entfernen, um die Unternehmensressourcen zu schützen. Organisationsbesitzer innerhalb des Unternehmens können die Lebensdauerrichtlinien für ihre Organisationen weiter einschränken. Siehe Durchsetzung einer maximalen Lebensdauerrichtlinie für personal access tokens.

Für fine-grained personal access tokens ist die Standardrichtlinie für die maximale Lebensdauer in Organisationen und Unternehmen auf ein Ablaufdatum von 366 Tagen festgelegt. Personal access tokens (classic) haben keine Ablaufanforderung.

Einzelheiten zur Durchsetzung von Richtlinien

Bei Enterprise Managed Usersgelten die Richtlinien auf Unternehmensebene auch für Benutzernamespaces, da das Unternehmen die Benutzerkonten besitzt.

Die Richtlinien für maximale Lebensdauer werden für fine-grained personal access tokens und personal access tokens (classic) etwas anders umgesetzt. Für tokens (classic) erfolgt die Erzwingung, wenn das Token verwendet wird und wenn die Autorisierung der SSO-Anmeldeinformationen versucht wird; bei Fehlern werden die Benutzer aufgefordert, die Lebensdauer anzupassen. Für fine-grained personal access tokens ist die Zielorganisation zum Zeitpunkt der Token-Erstellung bekannt. In beiden Fällen werden die Benutzer aufgefordert, Token mit konformen Lebensdauern neu zu generieren, wenn das aktuelle Token den Richtliniengrenzwert überschreitet.

Wenn Sie eine Richtlinie festlegen, wird für Token mit nicht konformer Lebensdauer der Zugriff auf Ihre Organisation blockiert, wenn das Token zu einem Mitglied Ihrer Organisation gehört. Durch das Festlegen dieser Richtlinie werden diese Tokens nicht widerrufen oder deaktiviert. Benutzer erfahren, dass ihr vorhandenes Token nicht konform ist, wenn API-Aufrufe für Ihre Organisation abgelehnt werden.

Festlegen einer Richtlinie für die maximale Lebensdauer

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.

           1. Klicke oben auf der Seite auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-law" aria-label="law" role="img"><path d="M8.75.75V2h.985c.304 0 .603.08.867.231l1.29.736c.038.022.08.033.124.033h2.234a.75.75 0 0 1 0 1.5h-.427l2.111 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.006.005-.01.01-.045.04c-.21.176-.441.327-.686.45C14.556 10.78 13.88 11 13 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L12.178 4.5h-.162c-.305 0-.604-.079-.868-.231l-1.29-.736a.245.245 0 0 0-.124-.033H8.75V13h2.5a.75.75 0 0 1 0 1.5h-6.5a.75.75 0 0 1 0-1.5h2.5V3.5h-.984a.245.245 0 0 0-.124.033l-1.289.737c-.265.15-.564.23-.869.23h-.162l2.112 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.016.015-.045.04c-.21.176-.441.327-.686.45C4.556 10.78 3.88 11 3 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L2.178 4.5H1.75a.75.75 0 0 1 0-1.5h2.234a.249.249 0 0 0 .125-.033l1.288-.737c.265-.15.564-.23.869-.23h.984V.75a.75.75 0 0 1 1.5 0Zm2.945 8.477c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L13 6.327Zm-10 0c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L3 6.327Z"></path></svg> Policies**., und klicken Sie dann auf **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg>Personal access tokens**.

  2. Wählen Sie entweder die Registerkarte Differenzierte Token oder Token (klassisch) aus, um diese Richtlinie basierend auf dem Tokentyp zu erzwingen.

  3.        **Legen Sie unter „Maximale Lebensdauer festlegen“ die personal access tokens maximale Lebensdauer fest.** Token müssen mit einer Lebensdauer erstellt werden, die kleiner oder gleich dieser Anzahl von Tagen ist.

  4. Optional können Sie das Kontrollkästchen Ausgenommene Administratoren aktivieren, um Ihre Unternehmensadministratoren von dieser Richtlinie auszunehmen. Sie sollten sie von dieser Richtlinie ausschließen, wenn Sie SCIM für die Benutzerbereitstellung verwenden oder eine Automatisierung haben, die noch nicht zu GitHub App migriert wurde.

    Warnung

    Wenn Sie Enterprise Managed Users verwenden, werden Sie aufgefordert, das Risiko einer Dienstunterbrechung zu akzeptieren, es sei denn, Sie schließen Ihre Unternehmensadministratoren aus. Dadurch wird sichergestellt, dass Ihnen das potenzielle Risiko bewusst ist.

  5. Klicken Sie auf Speichern.

Erzwingen einer Genehmigungsrichtlinie für fine-grained personal access tokens

Enterprise-Besitzer können genehmigungsanforderungen für jede fine-grained personal access token mit den folgenden Optionen verwalten:

  • Organisationen das Konfigurieren von Genehmigungsanforderungen erlauben: Unternehmensbesitzer können jeder Organisation im Unternehmen erlauben, eigene Genehmigungsanforderungen für die Token festzulegen. Dies ist die Standardeinstellung.
  • Genehmigung erforderlich: Unternehmensbesitzer können erfordern, dass alle Organisationen innerhalb des Unternehmens jede fine-grained personal access token genehmigen müssen, die auf die Organisation zugreifen kann. Diese Token können dennoch öffentliche Ressourcen innerhalb der Organisation lesen, ohne dass eine Genehmigung erforderlich ist.
  • **Genehmigung deaktivieren:**Fine-grained personal access tokenVon Organisationsmitgliedern erstellte Elemente können ohne vorherige Genehmigung auf Organisationen zugreifen, die im Besitz des Unternehmens sind. Organisationen können diese Einstellung nicht außer Kraft setzen.

Standardmäßig erfordern Organisationen die Genehmigung von fine-grained personal access tokens, können diese Anforderung jedoch deaktivieren. Mithilfe der oben genannten Einstellungen kannst du erzwingen, dass Genehmigungen für deine Organisationen aktiviert oder deaktiviert sind.

Hinweis

Nur fine-grained personal access tokens, nicht personal access tokens (classic), unterliegen der Genehmigung. Jeder personal access token (classic) kann ohne vorherige Genehmigung auf Ressourcen der Organisation zugreifen, es sei denn, die Organisation oder das Unternehmen hat den Zugriff durch personal access tokens (classic) eingeschränkt. Für weitere Informationen zum Einschränken von personal access tokens (classic), siehe Einschränkung des Zugriffs durch personal access tokens auf dieser Seite und Festlegen einer Richtlinie für persönliche Zugriffstoken für deine Organisation.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicke oben auf der Seite auf Policies.
  3. Klicken Sie unter "Richtlinien" auf Personal access tokens.
  4. Wählen Sie die Registerkarte "Feinkörnige Token" aus .
  5. Wählen Sie unter "Genehmigung erforderlich fine-grained personal access tokens" Ihre Genehmigungsrichtlinie aus:
  6. Klicken Sie auf Speichern.