Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen

Unternehmensbesitzer können den Zugriff auf Ressourcen steuern, indem sie Richtlinien auf personal access tokens anwenden.

In diesem Artikel

Einschränken des Zugriffs durch personal access tokens

Unternehmensbesitzer können ihre Mitglieder daran hindern, über personal access tokens auf Ressourcen des Unternehmens zuzugreifen. Sie können diese Einschränkungen für personal access tokens (classic) und fine-grained personal access tokens unabhängig mit den folgenden Optionen konfigurieren:

  •           **Konfiguration von Zugriffsanforderungen durch Organisationen zulassen:** Jede Organisation im Besitz des Unternehmens kann entscheiden, ob der Zugriff über personal access tokens eingeschränkt oder zugelassen werden soll. Dies ist die Standardeinstellung.
  • **Einschränken des Zugriffs über personal access tokens:**Personal access tokens Kann nicht auf Organisationen zugreifen, die sich im Besitz des Unternehmens befinden. Ssh-Schlüssel, die von diesen personal access tokens erstellt wurden, funktionieren weiterhin. Organisationen können diese Einstellung nicht außer Kraft setzen.
  •           **Zugriff über personal access tokens:**Personal access tokens kann auf Organisationen zugreifen, die sich im Besitz des Unternehmens befinden. Organisationen können diese Einstellung nicht außer Kraft setzen.

Standardmäßig ermöglichen Organisationen und Unternehmen den Zugriff durch beide fine-grained personal access tokens und personal access tokens (classic).

Unabhängig von der gewählten Richtlinie hat Personal access tokens Zugriff auf öffentliche Ressourcen innerhalb der von Ihrem Unternehmen verwalteten Organisationen.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.
  2. Klicken Sie oben auf der Seite auf "Richtlinien".
  3. Klicken Sie unter "Richtlinien" auf Personal access tokens.
  4. Wählen Sie entweder die Registerkarte Differenzierte Token oder Token (klassisch) aus, um diese Richtlinie basierend auf dem Tokentyp zu erzwingen.
  5. Wählen Sie unter Fine-grained personal access tokens oder Zugriff personal access tokens (classic) auf Ihre Organisationen einschränken Ihre Zugriffsrichtlinie aus.
  6. Klicken Sie auf Speichern.

Durchsetzung einer maximalen Lebensdauerrichtlinie für personal access tokens

Unternehmensbesitzer können sowohl für fine-grained personal access tokens als auch für personal access tokens (classic) die maximale Lebensdauer festlegen und entfernen, um die Unternehmensressourcen zu schützen. Organisationsbesitzer innerhalb des Unternehmens können die Lebensdauerrichtlinien für ihre Organisationen weiter einschränken. Siehe Durchsetzung einer maximalen Lebensdauerrichtlinie für personal access tokens.

Für fine-grained personal access tokens beträgt die maximale Lebensdauerrichtlinie für Organisationen und Unternehmen standardmäßig 366 Tage. Personal access tokens (classic) haben keine Ablaufanforderung.

Einzelheiten zur Durchsetzung von Richtlinien

Bei GHES gelten die Richtlinien auf Unternehmensebene auch für Benutzernamespaces, da das Unternehmen die Benutzerkonten besitzt.

Die Richtlinien für maximale Lebensdauer werden für fine-grained personal access tokens und personal access tokens (classic) etwas anders umgesetzt. Für tokens (classic) erfolgt die Erzwingung, wenn das Token verwendet wird und wenn die Autorisierung der SSO-Anmeldeinformationen versucht wird; bei Fehlern werden die Benutzer aufgefordert, die Lebensdauer anzupassen. Für fine-grained personal access tokens ist die Zielorganisation zum Zeitpunkt der Token-Erstellung bekannt. In beiden Fällen werden die Benutzer aufgefordert, Token mit konformen Lebensdauern neu zu generieren, wenn das aktuelle Token den Richtliniengrenzwert überschreitet.

Wenn Sie eine Richtlinie festlegen, wird für Token mit nicht konformer Lebensdauer der Zugriff auf Ihre Organisation blockiert, wenn das Token zu einem Mitglied Ihrer Organisation gehört. Durch das Festlegen dieser Richtlinie werden diese Tokens nicht widerrufen oder deaktiviert. Benutzer erfahren, dass ihr vorhandenes Token nicht konform ist, wenn API-Aufrufe für Ihre Organisation abgelehnt werden.

Festlegen einer Richtlinie für die maximale Lebensdauer

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.

  2. Klicken Sie oben auf der Seite auf "Richtlinien"., und klicken Sie dann auf Personal access tokens.

  3. Wählen Sie entweder die Registerkarte Differenzierte Token oder Token (klassisch) aus, um diese Richtlinie basierend auf dem Tokentyp zu erzwingen.

  4. Legen Sie unter Maximale Lebensdauer festlegen für personal access tokens die maximale Lebensdauer fest. Token müssen mit einer Lebensdauer erstellt werden, die kleiner oder gleich dieser Anzahl von Tagen ist.

  5. Optional können Sie das Kontrollkästchen Ausgenommene Administratoren aktivieren, um Ihre Unternehmensadministratoren von dieser Richtlinie auszunehmen. Sie sollten sie von dieser Richtlinie ausschließen, wenn Sie SCIM für die Benutzerbereitstellung verwenden oder eine Automatisierung haben, die noch nicht zu GitHub App migriert wurde.

    Warnung

    Wenn Sie Enterprise Managed Users verwenden, werden Sie aufgefordert, das Risiko einer Dienstunterbrechung zu akzeptieren, es sei denn, Sie schließen Ihre Unternehmensadministratoren aus. Dadurch wird sichergestellt, dass Ihnen das potenzielle Risiko bewusst ist.

  6. Klicken Sie auf Speichern.

Erzwingen einer Genehmigungsrichtlinie für fine-grained personal access tokens

Enterprise-Besitzer können genehmigungsanforderungen für jede fine-grained personal access token mit den folgenden Optionen verwalten:

  • Organisationen das Konfigurieren von Genehmigungsanforderungen erlauben: Unternehmensbesitzer können jeder Organisation im Unternehmen erlauben, eigene Genehmigungsanforderungen für die Token festzulegen. Dies ist die Standardeinstellung.
  • Genehmigung erforderlich: Unternehmensbesitzer können erfordern, dass alle Organisationen innerhalb des Unternehmens jede fine-grained personal access token genehmigen müssen, die auf die Organisation zugreifen kann. Diese Token können dennoch öffentliche Ressourcen innerhalb der Organisation lesen, ohne dass eine Genehmigung erforderlich ist.
  • **Genehmigung deaktivieren:**Fine-grained personal access tokenVon Organisationsmitgliedern erstellte Elemente können ohne vorherige Genehmigung auf Organisationen zugreifen, die im Besitz des Unternehmens sind. Organisationen können diese Einstellung nicht außer Kraft setzen.

Standardmäßig erfordern Organisationen die Genehmigung von fine-grained personal access tokens, können diese Anforderung jedoch deaktivieren. Mithilfe der oben genannten Einstellungen kannst du erzwingen, dass Genehmigungen für deine Organisationen aktiviert oder deaktiviert sind.

Hinweis

Nur fine-grained personal access tokens, nicht personal access tokens (classic), unterliegen der Genehmigung. Jeder personal access token (classic) kann ohne vorherige Genehmigung auf Ressourcen der Organisation zugreifen, es sei denn, die Organisation oder das Unternehmen hat den Zugriff durch personal access tokens (classic) eingeschränkt. Für weitere Informationen zum Einschränken von personal access tokens (classic), siehe Einschränkung des Zugriffs durch personal access tokens auf dieser Seite und Festlegen einer Richtlinie für persönliche Zugriffstoken für deine Organisation.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.
  2. Klicken Sie oben auf der Seite auf "Richtlinien".
  3. Klicken Sie unter "Richtlinien" auf Personal access tokens.
  4. Wählen Sie die Registerkarte "Feinkörnige Token" aus .
  5. Wählen Sie unter "Genehmigung erforderlich fine-grained personal access tokens" Ihre Genehmigungsrichtlinie aus:
  6. Klicken Sie auf Speichern.