Imposición de políticas para tokens de acceso personales en su empresa

Los propietarios de la empresa pueden controlar el acceso a los recursos mediante la aplicación de directivas a personal access tokens

En este artículo

Restricción de acceso mediante personal access tokens

Los propietarios de la empresa pueden impedir que sus miembros usen personal access tokens para acceder a los recursos propiedad de la empresa. Puede configurar estas restricciones para personal access tokens (classic) y fine-grained personal access tokens de forma independiente con las siguientes opciones:

  • Permitir que las organizaciones configuren los requisitos de acceso: Cada organización propiedad de la empresa puede decidir si se debe restringir o permitir el acceso por personal access tokens. Esta es la configuración predeterminada.
  • **Restringir el acceso a través depersonal access tokens:**Personal access tokens no puede acceder a organizaciones gestionadas por la empresa. Las claves SSH creadas por estos personal access tokens seguirán funcionando. Las organizaciones no pueden invalidar esta configuración.
  • **Permitir el acceso a través de personal access tokens:**Personal access tokens puede acceder a las organizaciones que pertenecen a la empresa. Las organizaciones no pueden invalidar esta configuración.

De forma predeterminada, las organizaciones y las empresas permiten el acceso tanto por fine-grained personal access tokens como por personal access tokens (classic).

Independientemente de la directiva elegida, Personal access tokens tendrá acceso a los recursos públicos dentro de las organizaciones administradas por la empresa.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Policies.
  3. En Directivas, haga clic en Personal access tokens.
  4. Seleccione la pestaña Tokens de gran precisión o Tokens (clásicos) para aplicar esta directiva según el tipo de token.
  5. En Fine-grained personal access tokens o Restringir personal access tokens (classic) el acceso a tus organizaciones, seleccione la directiva de acceso.
  6. Haga clic en Save(Guardar).

Aplicación de una directiva de duración máxima para personal access tokens

Los propietarios de empresas pueden establecer y quitar las duraciones máximas permitidas para ambos, fine-grained personal access tokens y personal access tokens (classic), para ayudar a proteger los recursos empresariales. Los propietarios de organizaciones dentro de la empresa pueden restringir aún más las políticas de duración de sus organizaciones. Vea Imposición de una directiva de duración máxima para personal access tokens.

Para fine-grained personal access tokens, la política predeterminada de duración máxima para organizaciones y empresas está establecida para vencer en un plazo de 366 días. Personal access tokens (classic) no tienen un requisito de expiración.

Detalles sobre la aplicación de directivas

Para Enterprise Managed Users, las directivas de nivel empresarial también se aplican a los espacios de nombres de usuario, ya que la empresa posee las cuentas de usuario.

Las directivas en torno a las duraciones máximas se aplican ligeramente de forma diferente para fine-grained personal access tokens y personal access tokens (classic). Para tokens (classic), la imposición se realiza cuando se utiliza el token y cuando se intenta autorizar las credenciales de SSO, y si hay errores, se indicará a los usuarios que ajusten la duración. Para fine-grained personal access tokens, la organización de destino se conoce en el momento de la creación del token. En ambos casos, se pedirá a los usuarios que vuelvan a generar tokens con duraciones conformes si las actuales superan el límite de las directivas.

Cuando establezca una directiva, se bloqueará el acceso a su organización a los tokens con duraciones no conformes, siempre que el token pertenezca a un miembro de su organización. Aunque se configure esta directiva, estos tokens no se revocan ni deshabilitan. Los usuarios entenderán que el token existente no es compatible cuando se rechacen las llamadas API a su organización.

Configuración de una política de duración máxima

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

           1. En la parte superior de la página, haz clic en **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-law" aria-label="law" role="img"><path d="M8.75.75V2h.985c.304 0 .603.08.867.231l1.29.736c.038.022.08.033.124.033h2.234a.75.75 0 0 1 0 1.5h-.427l2.111 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.006.005-.01.01-.045.04c-.21.176-.441.327-.686.45C14.556 10.78 13.88 11 13 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L12.178 4.5h-.162c-.305 0-.604-.079-.868-.231l-1.29-.736a.245.245 0 0 0-.124-.033H8.75V13h2.5a.75.75 0 0 1 0 1.5h-6.5a.75.75 0 0 1 0-1.5h2.5V3.5h-.984a.245.245 0 0 0-.124.033l-1.289.737c-.265.15-.564.23-.869.23h-.162l2.112 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.016.015-.045.04c-.21.176-.441.327-.686.45C4.556 10.78 3.88 11 3 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L2.178 4.5H1.75a.75.75 0 0 1 0-1.5h2.234a.249.249 0 0 0 .125-.033l1.288-.737c.265-.15.564-.23.869-.23h.984V.75a.75.75 0 0 1 1.5 0Zm2.945 8.477c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L13 6.327Zm-10 0c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L3 6.327Z"></path></svg> Policies**., a continuación, haga clic en **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg>Personal access tokens**.

  2. Seleccione la pestaña Tokens de gran precisión o Tokens (clásicos) para aplicar esta directiva según el tipo de token.

  3. En Establecer duración máxima para personal access tokens, establezca la duración máxima. Los tokens se deben crear con una duración menor o igual a este número de días.

  4. Opcionalmente, para excluir a los administradores de la empresa de esta directiva, marque la casilla Excluir a los administradores. Debe excluirlos de esta política si usa SCIM para el aprovisionamiento de usuarios o tiene una automatización que aún no se ha migrado a GitHub App.

    Advertencia

    Si usa Enterprise Managed Users, se le pedirá que acepte el riesgo de interrupción del servicio a menos que exime a los administradores de la empresa. Esto garantiza que conoce el riesgo potencial.

  5. Haga clic en Save(Guardar).

Aplicación de una directiva de aprobación para fine-grained personal access tokens

Los propietarios de empresas pueden administrar los requisitos de aprobación para cada fine-grained personal access token uno con las siguientes opciones:

  • Permitir que las organizaciones configuren los requisitos de aprobación: los propietarios de la empresa pueden permitir que cada organización de la empresa establezca sus propios requisitos de aprobación de tokens. Este es el valor predeterminado.
  • Requerir aprobación: Los propietarios de empresas pueden exigir que todas las organizaciones de la empresa aprueben cada fine-grained personal access token que quiera acceder a la organización. Estos tokens pueden leer los recursos públicos de la organización igualmente sin necesidad de aprobación.
  • **Deshabilitar aprobación:**Fine-grained personal access tokenlos elementos creados por los miembros de la organización pueden acceder a las organizaciones propiedad de la empresa sin aprobación previa. Las organizaciones no pueden invalidar esta configuración.

De forma predeterminada, las organizaciones requieren la aprobación de fine-grained personal access tokens, pero pueden deshabilitar este requisito. Con la configuración anterior, puedes forzar a las organizaciones a que tengan habilitadas o deshabilitadas las aprobaciones.

Nota:

Solo fine-grained personal access tokens, no personal access tokens (classic), están sujetos a aprobación. Cualquiera personal access token (classic) puede acceder a los recursos de la organización sin aprobación previa, a menos que la organización o la empresa haya restringido el acceso por personal access tokens (classic). Para más información acerca de cómo restringir personal access tokens (classic), consulte Restricción del acceso mediante personal access tokens en esta página y Establecimiento de una directiva de token de acceso personal en la organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Policies.
  3. En Directivas, haga clic en Personal access tokens.
  4. Seleccione la pestaña Tokens de grano fino.
  5. En Requerir aprobación de fine-grained personal access tokens, seleccione su directiva de aprobación:
  6. Haga clic en Save(Guardar).