Revocar las autorizaciones de SSO o eliminar credenciales en su empresa

Responda a un incidente de seguridad realizando acciones masivas en las credenciales con acceso a su empresa.

¿Quién puede utilizar esta característica?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

En este artículo

Cuando la empresa se ve afectada por un incidente de seguridad importante, puede responder evitando el acceso mediante programación a su empresa o a sus organizaciones.

En la sección "Seguridad de autenticación" de la configuración empresarial, puede revisar los recuentos de tokens de usuario y claves que están autorizados para el inicio de sesión único (SSO). Después, si es necesario, puede usar una de las siguientes acciones masivas en la "Zona de peligro":

  •         **Revoque las autorizaciones de SSO** para quitar el acceso a los recursos de la organización protegida por SSO para las credenciales de usuario de su empresa.

  •         **Elimine claves y tokens** para quitar tokens de usuario y claves SSH en su empresa, incluso si no tienen una autorización de SSO (solo Enterprise Managed Users).

Advertencia

Estas son acciones de alto impacto que se deben reservar para incidentes de seguridad importantes. Es probable que interrumpan las automatizaciones y podrían tardar meses en restaurar el estado original. Para obtener opciones alternativas para responder a tokens en peligro individuales a menor escala, consulte la sección Recursos para respuestas a menor escala .

Acceso a la página de seguridad de autenticación

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Settings.
  3. En la barra lateral izquierda, haga clic en Seguridad de autenticación.

Revisión de credenciales

En la sección "Credenciales", puede ver cuántas credenciales de cada tipo tienen al menos una autorización de SSO para una organización de su empresa. Para más información, consulta Acerca de la autenticación con el inicio de sesión único (SSO).

Los recuentos incluyen:

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • Claves SSH de usuario
  • Tokens de acceso de usuario de GitHub App y OAuth app

Se muestra un recuento exacto si hay 10 000 o menos de un tipo de token. Encima de esa figura, se muestra la descripción 10k+ tokens .

Realizar acciones masivas (zona de peligro)

Use los botones de acción masiva zona de peligro para responder a un incidente de seguridad según sea necesario. En las secciones siguientes se describe cada acción, qué autorizaciones o credenciales de SSO se ven afectadas y los eventos de registro de auditoría relacionados.

Nota:

Si su empresa no usa Enterprise Managed Users y no ha habilitado el inicio de sesión único SAML, ninguna de estas acciones estará disponible. Como alternativa, si necesita que los usuarios reemplacen personal access tokens como parte de la respuesta a incidentes, puede configurar una directa de empresa para que caduquen todos los personal access tokens. Consulta Aplicación de directivas de tokens de acceso personal en la empresa.

Revocar autorizaciones de SSO

Esta acción está disponible para Enterprise Managed Users o empresas que usan SSO de SAML.

La revocación de autorizaciones quita las autorizaciones de SSO para los tokens de usuario y las claves SSH en todas las organizaciones de la empresa.

  • Las credenciales que han tenido autorizaciones de SSO revocadas no se pueden volver a autorizar para las organizaciones afectadas. Para restaurar el acceso, los usuarios deben crear nuevas credenciales y autorizarlas.
  • Las credenciales en sí no se eliminan y sus permisos para los ámbitos de usuario y empresa, y para las organizaciones que no están protegidas por SSO, permanecen activos.
  • Las credenciales que no se han autorizado para el inicio de sesión único no se ven afectadas.

La autorización para fine-grained personal access tokens funciona de forma diferente, por lo que esta acción tiene un efecto diferente en este tipo de token. Para los PAT específicos en los que una organización es el "propietario del recurso", se elimina al propietario del recurso, lo que resulta en la pérdida de acceso a los recursos de la organización. Los usuarios pueden volver a cambiar el propietario del recurso a la cuenta de la organización, lo que puede requerir aprobación (consulte Aplicación de directivas de tokens de acceso personal en la empresa).

Eliminación de claves y tokens

Esta acción solo está disponible para Enterprise Managed Users.

Al eliminar claves y tokens, se quitan las credenciales que tienen acceso a su empresa, independientemente de si están autorizadas para SSO. Las credenciales dejan de funcionar y ya no están visibles en la interfaz de usuario.

Para restaurar el acceso mediante programación, los usuarios deben crear nuevas credenciales, autorizarlas con organizaciones si es necesario y actualizar los procesos afectados para usar las nuevas credenciales.

Credenciales incluidas

Ambas acciones incluyen los siguientes tipos de credenciales:

  • Claves SSH de usuario
  • OAuth apps tokens de acceso de usuario (ghu_)
  • GitHub App tokens de acceso de usuario
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

Tenga en cuenta que la acción "revocar autorizaciones" funciona de forma diferente para fine-grained personal access tokens, como se explicó anteriormente.

Los siguientes tipos de credenciales no se ven afectados:

  • Instalación de tokens de GitHub App (ghs_)
  • Fine-grained personal access tokens
  • Claves de implementación
  • Acceso a GITHUB_TOKEN de GitHub Actions

Eventos de registro de auditoría y seguridad

La acción "revocar autorizaciones" genera los siguientes eventos:

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

La acción "eliminar tokens" también genera esos eventos y, además, genera los siguientes eventos:

  • oauth_access.destroy
  • personal_access_token.destroy

Recursos para respuestas a menor escala

En los artículos siguientes se describen acciones alternativas para administrar incidentes que son más pequeños en el ámbito, donde puede identificar tokens en peligro específicos o cuentas de usuario.

  •         [AUTOTITLE](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token)

  •         [AUTOTITLE](/code-security/tutorials/remediate-leaked-secrets/remediating-a-leaked-secret)
  • "Revocación" en la documentación de las API REST