Referenz zu GitHub-Anmeldeinformationstypen

Dieser Artikel bietet eine konsolidierte Referenz für alle programmatischen Anmeldeinformationstypen, die auf GitHub zugreifen können. Verwenden Sie diesen Verweis, um Aktivitäten zu überwachen und die Sperrung von Anmeldeinformationen zu verwalten, insbesondere bei Sicherheitsvorfällen.

Übersicht über Anmeldeinformationstypen

In der folgenden Tabelle sind alle Anmeldeinformationstypen aufgeführt, auf die programmgesteuert zugegriffen werden kann GitHub.

Berechtigungstyp	Zugangsdaten-Präfix	Lebensdauer	Widerruf	Zugeordnet an
Personal access token (classic)	ghp_	Langlebig	Manuell	Benutzerkonto
Fine-grained personal access token	github_pat_	Konfigurierbar (bis zu 1 Jahr oder kein Ablauf)	Manuell	Benutzerkonto
[

          OAuth app Zugriffstoken](#oauth-app-access-tokens) | `gho_` | Langlebig | Manuell | Benutzerkonto |

| GitHub App Benutzerzugriffstoken | ghu_ | Kurzlebig (8 Stunden) | Automatisches Ablaufen oder Manuelles | Benutzerkonto | | GitHub App Installationszugriffstoken | ghs_ | Kurzlebig (1 Stunde) | Automatisches Ablaufen | App-Installation | | GitHub App Aktualisierungstoken | ghr_ | Langlebig (6 Monate) | Manuell | Benutzerkonto | | SSH-Schlüssel des Benutzers | Nicht anwendbar | Langlebig | Manuell | Benutzerkonto | | Bereitstellen des Schlüssels | Nicht anwendbar | Langlebig | Manuell | Repository | | GITHUB_TOKEN (GitHub Actions) | Nicht anwendbar | Kurzlebig (Jobdauer) | Automatisches Ablaufen | Workflow-Ausführung |

Widerruf von Anmeldeinformationen

In den folgenden Abschnitten werden die Widerrufsoptionen für jeden Anmeldedatentyp basierend auf Ihrer Rolle beschrieben. Siehe auch Tokenexpirierung und Widerruf.

Personal access token (classic)

• Wenn das Token Zu Ihnen gehört, können Sie es über Ihre persönlichen Kontoeinstellungen löschen. Siehe Verwalten deiner persönlichen Zugriffstoken.

• Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.

• Organisationsbesitzer und Unternehmensbesitzer haben keine direkte Sichtbarkeit oder Kontrolle über einzelne Token. Sie können jedoch:

  • Widerrufen Sie sie mithilfe der REST-API, wenn der tatsächliche Tokenwert bekannt ist. Siehe Widerruf.
  • Beschränken Sie den Zugriff von personal access tokens auf die Organisation oder das Unternehmen vollständig. Siehe Festlegen einer Richtlinie für persönliche Zugriffstoken für deine Organisation und Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen.

• Organisationsbesitzer und UnternehmensbesitzerGitHub Enterprise Cloud mit erzwungenem SSO können die SSO-Autorisierung für einen bestimmten personal access token (classic)Benutzer widerrufen. Details finden Sie unter Widerrufen der SSO-Autorisierung .

• Wird automatisch widerrufen, wenn sie an ein öffentliches Repository oder einen Gist verschoben wurde oder für ein Jahr nicht verwendet wird. Siehe Tokenexpirierung und Widerruf.

Fine-grained personal access token

• Wenn das Token Zu Ihnen gehört, können Sie es über Ihre persönlichen Kontoeinstellungen löschen. Siehe Verwalten deiner persönlichen Zugriffstoken.

• Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.

• Organisationsbesitzer: Kann einzelne Token anzeigen und widerrufen. Beachten Sie jedoch, dass beim Widerrufen eines fine-grained personal access tokenOrganisationsbesitzers alle ssh-Schlüssel, die mit dem Token erstellt wurden, weiterhin funktionieren und das Token weiterhin öffentliche Ressourcen innerhalb der Organisation lesen kann. Die Widerrufung ändert den Ressourcenbesitzer von der Organisation auf den Benutzer, und der Benutzer kann sie wieder zuweisen. Siehe Überprüfen und Widerrufen persönlicher Zugriffstoken in deiner Organisation.

• Organisationsbesitzer und Unternehmensbesitzer können:

  • Widerrufen Sie das Token mithilfe der REST-API. Siehe Widerruf.
  • Beschränken Sie den Zugriff von personal access tokens auf die Organisation oder das Unternehmen vollständig. Siehe Festlegen einer Richtlinie für persönliche Zugriffstoken für deine Organisation und Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen.

• Wird automatisch widerrufen, wenn sie an ein öffentliches Repository oder einen Gist verschoben wurde oder für ein Jahr nicht verwendet wird. Siehe Tokenexpirierung und Widerruf.

          OAuth app Zugriffstoken

• Benutzer können ihre Autorisierung für eine OAuth app in ihren persönlichen Kontoeinstellungen widerrufen, wodurch alle token widerrufen werden, die der App zugeordnet sind. Siehe Überprüfen der autorisierten OAuth-Apps.

• Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.

• Organisationsbesitzer können einen zuvor genehmigten OAuth appZugriff auf die Organisation verweigern. Siehe Zugriff einer zuvor genehmigten OAuth-App für deine Organisation verweigern.

• Auf GitHub Enterprise Cloud können Unternehmens- und Organisationsbesitzer die SSO-Autorisierung für einzelne OAuth app Token nicht direkt widerrufen. Die Autorisierung von SSO-Anmeldedaten gilt nicht für GitHub Enterprise Server.

• Wird automatisch widerrufen, wenn sie an ein öffentliches Repository oder einen Gist verschoben wurde oder für ein Jahr nicht verwendet wird. Siehe Tokenexpirierung und Widerruf.

          GitHub App Benutzerzugriffstoken

• Benutzer können ihre Autorisierung für eine GitHub App in ihren persönlichen Kontoeinstellungen widerrufen. Beachten Sie, dass dadurch die Autorisierung für alle Organisationen widerrufen wird, nicht nur eine bestimmte. Siehe Überprüfen und Widerrufen der Autorisierung von GitHub Apps.

• Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.

• Organisationsbesitzer können Benutzerautorisierungen nicht direkt widerrufen, die App kann jedoch angehalten oder deinstalliert werden, um den Zugriff auf Organisationsressourcen zu verhindern. Siehe Überprüfen und Ändern der installierten GitHub Apps.

• On GitHub Enterprise Cloud, Unternehmens- und Organisationsbesitzer können die Single Sign-On (SSO)-Autorisierung für einzelne GitHub App Benutzer-Zugriffstoken nicht direkt widerrufen. Die SSO-Anmeldeinformationsautorisierung gilt nicht für GitHub Enterprise Server.

• Läuft standardmäßig nach 8 Stunden automatisch ab. Siehe Tokenexpirierung und Widerruf.

          GitHub App Aktualisierungstoken

• Benutzer können die GitHub App Autorisierung widerrufen, wodurch auch zugeordnete Aktualisierungstoken ungültig werden. Siehe Überprüfen und Widerrufen der Autorisierung von GitHub Apps.

• Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.

• Läuft automatisch nach 6 Monaten ab.

          GitHub App Installationszugriffstoken

• App-Besitzer können die Berechtigungen über DELETE /installation/token widerrufen. Siehe REST-API-Endpunkte für GitHub App Installationen.
• Organisationsbesitzer und Unternehmensbesitzer: Kann die App aus der Organisation deinstallieren, wodurch alle zugehörigen Installationstoken deaktiviert werden. Siehe Überprüfen und Ändern der installierten GitHub Apps.
• Läuft nach 1 Stunde automatisch ab .

Benutzer-SSH-Schlüssel

• Benutzer können die Anmeldeinformationen über einstellungen > SSH- und GPG-Schlüssel löschen. Siehe SSH-Schlüssel überprüfen.
• Organisationsbesitzer und UnternehmensbesitzerGitHub Enterprise Cloud mit erzwungenem SSO können die SSO-Autorisierung für einen bestimmten SSH-Schlüssel widerrufen. Nach dem Widerrufen kann derselbe Schlüssel nicht erneut autorisiert werden– der Benutzer muss einen neuen SSH-Schlüssel erstellen. Details finden Sie unter Widerrufen der SSO-Autorisierung .
• Wird automatisch gelöscht , wenn sie für ein Jahr nicht verwendet wird. Siehe Gelöschte oder fehlende SSH-Schlüssel.

Weitere Informationen zu SSH-Schlüsseln finden Sie unter Hinzufügen eines neuen SSH-Schlüssels zu Ihrem GitHub Konto.

Schlüssel bereitstellen

• Repositoryadministratoren können Schlüssel über Repositoryeinstellungen > Sicherheit > Bereitstellen von Schlüsseln löschen. Auch über die DEPLOY Keys REST-API verfügbar. Siehe Deploy-Schlüssel überprüfen.
• Organisationsbesitzer können die Bereitstellung von Schlüsseln vollständig in der gesamten Organisation deaktivieren, wodurch alle vorhandenen Bereitstellungsschlüssel deaktiviert werden. Siehe Einschränkung der Deployment-Keys in Ihrer Organisation.
• Unternehmensbesitzer können eine Richtlinie erzwingen, um die Bereitstellung von Schlüsseln in allen Repositorys zu deaktivieren. Siehe Richtlinien zur Verwaltung von Repositories in Ihrem Unternehmen erzwingen.

Weitere Informationen zur Bereitstellung von Schlüsseln finden Sie unter Verwalten von Bereitstellungsschlüsseln.

          `GITHUB_TOKEN` (GitHub Actions)

• Läuft automatisch ab: Die GITHUB_TOKEN wird zu Beginn jedes Workflowauftrags erstellt und läuft ab, wenn der Auftrag abgeschlossen ist. Es gibt keinen manuellen Sperrmechanismus. Während eines Vorfalls können Sie GitHub Actions im Repository deaktivieren, um zu verhindern, dass neue Token ausgegeben werden.

Weitere Informationen GITHUB_TOKENfinden Sie unter GITHUB_TOKEN.

SSO-Autorisierung

Wenn GitHub Enterprise Cloudeinmaliges Anmelden (Single Sign-On, SSO) auf Unternehmensebene erforderlich ist, auf Organisationsebene erzwungen oder für eine Organisation aktiviert ist und ein Mitglied eine Identität verknüpft hat, müssen bestimmte Anmeldeinformationstypen für eine Organisation autorisiert werden, bevor sie auf Organisationsressourcen zugreifen können. Die folgende Tabelle gibt an, welche Anmeldedatentypen durch eine Organisation autorisiert werden können. Die SSO-Credential-Autorisierung gilt nicht für GitHub Enterprise Server.

Tokentyp	Unterstützt SSO-Autorisierung	Administratoren können die SSO-Autorisierung widerrufen.
Personal access token (classic)
Fine-grained personal access token
OAuth app Zugriffstoken

          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Yes" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>
          [^1] | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-x" aria-label="No" role="img"><path d="M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z"></path></svg> |

| GitHub App Benutzerzugriffstoken | [^1] | | | GitHub App Installationszugriffstoken | (nicht erforderlich) | Nicht anwendbar | | GitHub App Aktualisierungstoken | | Nicht anwendbar | | SSH-Schlüssel des Benutzers | | | | Deploy-Schlüssel | (repository-bezogen) | Nicht anwendbar | | GITHUB_TOKEN (GitHub Actions) | (repository-bezogen) | Nicht anwendbar |

          [^1]: On GitHub Enterprise Cloud, SSO authorization is granted automatically when the user authorizes the app during an active SAML or OIDC session. These authorizations are not visible to users or admins in the GitHub UI, and are not returned by the [AUTOTITLE](/rest/orgs/orgs#list-saml-sso-authorizations-for-an-organization) REST API endpoint.

Informationen GitHub Enterprise Cloudzum Autorisieren von Anmeldeinformationen für SSO finden Sie unter Autorisieren eines persönlichen Zugriffstokens für die Verwendung mit Single Sign-On, Verwalten deiner persönlichen Zugriffstoken und Einen SSH-Schlüssel für die Verwendung mit Single Sign-On autorisieren.

Widerrufen der SSO-Autorisierung

Bei GitHub Enterprise Cloud erzwungenem SSO gibt es zwei unabhängige Eindämmungsoptionen, wenn eine Anmeldeinformation die SSO-Autorisierung unterstützt:

• Löschen oder widerrufen Sie die Anmeldeinformationen selbst: Entfernt dauerhaft den gesamten Zugriff, der den Anmeldeinformationen zugeordnet ist. Sehen Sie in den oben genannten Abschnitten zu den Anmeldeinformationstypen nach, wer diese Aktion ausführen kann.
• Widerrufen Sie die SSO-Autorisierung der Anmeldeinformationen: Verhindert, dass die Anmeldeinformationen auf die Ressourcen einer bestimmten Organisation zugreifen können, ohne sie zu löschen. Nach dem Widerrufen kann der Benutzer die gleichen Anmeldeinformationen nicht erneut autorisieren. sie müssen eine neue erstellen.

Auf GitHub Enterprise Cloud können Administratoren und Organisationseigentümer die SSO-Autorisierung für die in der obigen Tabelle markierten Anmeldedatentypen widerrufen.

• Organisationsbesitzer können SSO-Autorisierungen für Organisationen mit SSO auf Organisationsebene über die GitHub Benutzeroberfläche verwalten. Siehe Anzeigen und Verwalten des SAML-Zugriffs eines Mitglieds auf Ihre Organisation.
• Unternehmensbesitzer können SSO-Autorisierungen für Unternehmen mit SSO auf Unternehmensebene (einschließlich Enterprise Managed Users) über die GitHub Benutzeroberfläche verwalten. Siehe Anzeigen und Verwalten des SAML-Zugriffs von Benutzer*innen auf dein Unternehmen.

Auf GitHub Enterprise Cloud, können Sie auch SSO-Autorisierungen über die REST-API verwalten.

Während GitHub Enterprise Cloudeines Sicherheitsvorfalls können Unternehmensbesitzer SSO-Autorisierungen massenweise widerrufen. Siehe Massenaktionen für Sicherheitsvorfälle.

Massenaktionen für Sicherheitsvorfälle

Bei einem großen Sicherheitsvorfall gibt es einige Massenaktionen auf Unternehmensebene, die Unternehmensbesitzer auf GitHub Enterprise Cloud ergreifen können, um schnell zu handeln. Diese Aktionen wirken sich auf SSH-Schlüssel des Benutzers, OAuth app Benutzerzugriffstoken, GitHub App Benutzerzugriffstoken, personal access tokens (classic) und fine-grained personal access tokens aus. Sie wirken sich nicht auf GitHub App Installationszugriffstokens, Bereitstellungsschlüssel oder GITHUB_TOKEN aus.

• Sperren von SSO: Vorübergehendes Blockieren von SSO für alle Benutzer mit Ausnahme von Unternehmensinhabern, um den Zugriff auf SSO-geschützte Ressourcen zu verhindern. Verfügbar für Enterprise Managed Users oder Unternehmen, die SSO verwenden. Siehe Absicherung von Single Sign-On in Ihrem Unternehmen.
• Widerrufen aller SSO-Autorisierungen: Entfernen von SSO-Autorisierungen für Benutzeranmeldeinformationen in allen Organisationen im Unternehmen. Anmeldeinformationen werden nicht gelöscht, verlieren jedoch den Zugriff auf SSO-geschützte Organisationsressourcen. Nach dem Widerrufen können die Anmeldeinformationen nicht erneut autorisiert werden– Benutzer müssen neue Anmeldeinformationen erstellen. Verfügbar für Enterprise Managed Users oder Unternehmen, die SSO verwenden. Siehe Widerrufen von SSO-Autorisierungen oder Löschen von Anmeldeinformationen in Ihrem Unternehmen.
• Löschen Sie alle Benutzertoken und Schlüssel: Löschen Sie die Benutzeranmeldeinformationen vollständig, und entfernen Sie den gesamten Zugriff. Enterprise Managed Users verfügbar****. Siehe Widerrufen von SSO-Autorisierungen oder Löschen von Anmeldeinformationen in Ihrem Unternehmen.