Enterprise Server 3.20 actualmente está disponible como versión candidata para lanzamiento.

Aplicación de directivas de tokens de acceso personal en la empresa

Los propietarios de empresas pueden controlar el acceso a los recursos aplicando directivas a personal access tokens

En este artículo

Restricción del acceso mediante personal access tokens

Los propietarios de empresas pueden impedir que los miembros usen personal access tokens para acceder a recursos propiedad de la empresa. Puede configurar estas restricciones para personal access tokens (classic) y fine-grained personal access tokens de forma independiente con las opciones siguientes:

  • Permitir que las organizaciones configuren los requisitos de acceso: cada organización propiedad de la empresa puede decidir si restringir o permitir el acceso mediante personal access tokens. Esta es la configuración predeterminada.
  • Restringir el acceso mediante personal access tokens: Personal access tokens no pueden acceder a las organizaciones propiedad de la empresa. Las claves SSH creadas por estos personal access tokens seguirán funcionando. Las organizaciones no pueden invalidar esta configuración.
  • Permitir el acceso mediante personal access tokens: Personal access tokens pueden acceder a las organizaciones propiedad de la empresa. Las organizaciones no pueden invalidar esta configuración.

De forma predeterminada, las organizaciones y las empresas permiten el acceso tanto por fine-grained personal access tokens como por personal access tokens (classic).

Independientemente de la directiva elegida, Personal access tokens tendrá acceso a los recursos públicos de las organizaciones administradas por la empresa.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.
  2. En la parte superior de la página, haz clic en Policies.
  3. En Directivas, haz clic en Personal access tokens.
  4. Seleccione la pestaña Tokens específicos o Tokens (clásicos) para aplicar esta directiva en función del tipo de token.
  5. En Fine-grained personal access tokens or Restringir el acceso a las organizaciones mediante personal access tokens (classic), seleccione su directiva de acceso.
  6. Haga clic en Save(Guardar).

Aplicación de una directiva de duración máxima para personal access tokens

Los propietarios de empresas pueden configurar y eliminar los permisos de duración máxima tanto de fine-grained personal access tokens como de personal access tokens (classic) para ayudar a proteger los recursos de empresa. Los propietarios de organizaciones que formen parte de la empresa pueden restringir aún más las directivas de duración de sus organizaciones. Consulta Aplicación de una directiva de duración máxima para personal access tokens.

Para fine-grained personal access tokens, la directiva de duración máxima predeterminada para organizaciones y empresas está configurada para expirar en un plazo de 366 días. Personal access tokens (classic) no tienen ningún requisito de expiración.

Detalles sobre la aplicación de directivas

Para GHES , las directivas a nivel de empresa también se aplican a los espacios de nombres de usuario, ya que la empresa es la propietaria de las cuentas de usuario.

Las directivas en torno a la duración máxima se aplican de forma ligeramente diferente para fine-grained personal access tokens y personal access tokens (classic). Para tokens (classic), la aplicación se produce cuando se usa el token y cuando se intenta autorizar credenciales de SSO, y los errores pedirán a los usuarios que ajusten la duración. Para fine-grained personal access tokens, la organización de destino se conoce en el momento de la creación del token. En ambos casos, se pedirá a los usuarios que vuelvan a generar tokens con duraciones conformes si las actuales superan el límite de las directivas.

Al configurar una directiva, los tokens con duraciones no conformes tendrán bloqueado el acceso a la organización si el token pertenece a un miembro de la organización. Aunque se configure esta directiva, estos tokens no se revocan ni deshabilitan. Los usuarios entenderán que el token existente no es compatible cuando se rechacen las llamadas API a su organización.

Configuración de una directiva de duración máxima

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.
  2. En la parte superior de la página, haz clic en Policies., luego haz clic en Personal access tokens.
  3. Seleccione la pestaña Tokens específicos o Tokens (clásicos) para aplicar esta directiva en función del tipo de token.
  4. En Configurar la duración máxima de personal access tokens, establezca la duración máxima. Los tokens se deben crear con una duración menor o igual a este número de días.
  5. Opcionalmente, para excluir a los administradores de la empresa de esta directiva, marque la casilla Excluir a los administradores. Debe excluirlos de esta directiva si usa SCIM para el aprovisionamiento de usuarios o tiene alguna automatización que aún no se ha migrado a GitHub App.

    Advertencia

    Si usa Enterprise Managed Users, se le pedirá que acepte el riesgo de interrupción del servicio a menos que excluya a los administradores de la empresa. Esto garantiza que conoce el riesgo potencial.

  6. Haga clic en Save(Guardar).

Aplicación de una directiva de aprobación para fine-grained personal access tokens

Los propietarios de la empresa pueden administrar los requisitos de aprobación de cada fine-grained personal access token con las siguientes opciones:

  • Permitir que las organizaciones configuren los requisitos de aprobación: los propietarios de la empresa pueden permitir que cada organización de la empresa establezca sus propios requisitos de aprobación de tokens. Este es el valor predeterminado.
  • Requerir aprobación: los propietarios de la empresa pueden requerir a todas las organizaciones de su propiedad que aprueben cada fine-grained personal access token que tenga acceso a la organización. Estos tokens pueden leer los recursos públicos de la organización igualmente sin necesidad de aprobación.
  • Deshabilitar la aprobación: un Fine-grained personal access token creado por un miembro de la organización puede acceder a las organizaciones pertenecientes a la empresa sin aprobación previa. Las organizaciones no pueden invalidar esta configuración.

De forma predeterminada, las organizaciones requieren aprobación de fine-grained personal access tokens, pero pueden deshabilitar este requisito. Con la configuración anterior, puedes forzar a las organizaciones a que tengan habilitadas o deshabilitadas las aprobaciones.

Nota:

Solo están sujetos a aprobación los fine-grained personal access token, no los personal access tokens (classic). Cualquier personal access token (classic) puede acceder a los recursos de la organización sin aprobación previa, a menos que la organización o empresa haya restringido el acceso restringido mediante personal access tokens (classic). Para obtener más información sobre cómo restringir personal access tokens (classic), consulta Restricción del acceso mediante personal access tokens en esta página y Establecimiento de una directiva de token de acceso personal en la organización.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.
  2. En la parte superior de la página, haz clic en Policies.
  3. En Directivas, haz clic en Personal access tokens.
  4. Seleccione la pestaña Tokens específicos.
  5. En Requerir aprobación de fine-grained personal access tokens, seleccione la directiva de aprobación:
  6. Haga clic en Save(Guardar).