Application de stratégies pour les jetons d’accès personnels dans votre entreprise

Les propriétaires d’entreprise peuvent contrôler l’accès aux ressources en appliquant des stratégies à personal access tokens

Dans cet article

Restriction de l’accès par personal access tokens

Les propriétaires d’entreprise peuvent empêcher leurs membres d’utiliser personal access tokens pour accéder aux ressources appartenant à l’entreprise. Vous pouvez configurer ces restrictions pour personal access tokens (classic) et fine-grained personal access tokens indépendamment avec les options suivantes :

  • Autoriser les organisations à configurer les exigences d’accès : Chaque organisation détenue par l’entreprise peut décider de restreindre ou d’autoriser l’accès par personal access tokens. Il s’agit du paramètre par défaut.
  • **Restreindre l’accès via personal access tokens:**Personal access tokens ne peut pas accéder aux organisations appartenant à l’entreprise. Les clés SSH créées par ces personal access tokens clés continueront de fonctionner. Les organisations ne peuvent pas remplacer ce paramètre.
  • **Autoriser l’accès via personal access tokens:**Personal access tokens peut accéder aux organisations appartenant à l’entreprise. Les organisations ne peuvent pas remplacer ce paramètre.

Par défaut, les organisations et les entreprises autorisent l’accès à la fois fine-grained personal access tokens et personal access tokens (classic).

Quelle que soit la stratégie choisie, Personal access tokens vous aurez accès aux ressources publiques au sein des organisations gérées par votre entreprise.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous Stratégies, cliquez sur Personal access tokens.
  4. Sélectionnez l’onglet Jetons précis ou Jetons (classiques) pour appliquer cette stratégie en fonction du type de jeton.
  5. Sous Fine-grained personal access tokens ou Restreindre personal access tokens (classic) l’accès à vos organisations, sélectionnez votre stratégie d’accès.
  6. Cliquez sur Enregistrer.

Application d’une stratégie de durée de vie maximale pour personal access tokens

Les propriétaires d’entreprise peuvent définir et supprimer des limites de durée de vie maximale pour fine-grained personal access tokens et personal access tokens (classic) afin d'aider à protéger les ressources de l'entreprise. Les propriétaires d’organisation au sein de l’entreprise peuvent restreindre davantage les stratégies de durée de vie de leur organisation. Consultez la mise en œuvre d’une politique de durée de vie maximale pour personal access tokens.

Pour fine-grained personal access tokens, la stratégie de durée de vie maximale par défaut pour les organisations et les entreprises est définie pour expirer dans les 366 jours. Personal access tokens (classic) ne dispose pas d’une exigence d’expiration.

Détails de mise en œuvre des stratégies

Pour Enterprise Managed Users, les stratégies au niveau de l’entreprise s’appliquent également aux espaces de noms d’utilisateur, car l’entreprise possède les comptes d’utilisateur.

Les stratégies autour des durées de vie maximales sont appliquées légèrement différemment pour fine-grained personal access tokens et personal access tokens (classic). Pour tokens (classic), la mise en application se produit lorsque le jeton est utilisé et lorsque l’autorisation des informations d’identification de l’authentification unique est tentée, et les erreurs incitent les utilisateurs à ajuster la durée d'usage. Pour fine-grained personal access tokens, l’organisation cible est connue au moment de la création du jeton. Dans les deux cas, les utilisateurs sont invités à régénérer des jetons avec des durées de vie conformes si le jeton actuel dépasse la limite de stratégie.

Lorsque vous définissez une stratégie, l’accès des jetons avec des durées de vie non conformes à votre organisation est bloqué si le jeton appartient à un membre de votre organisation. La définition de cette stratégie ne révoque pas et ne désactive pas ces jetons. Les utilisateurs sont informés que leur jeton existant n’est pas conforme lorsque les appels d’API pour votre organisation sont rejetés.

Définition d’une stratégie de durée de vie maximale

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

           1. En haut de la page, cliquez sur **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-law" aria-label="law" role="img"><path d="M8.75.75V2h.985c.304 0 .603.08.867.231l1.29.736c.038.022.08.033.124.033h2.234a.75.75 0 0 1 0 1.5h-.427l2.111 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.006.005-.01.01-.045.04c-.21.176-.441.327-.686.45C14.556 10.78 13.88 11 13 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L12.178 4.5h-.162c-.305 0-.604-.079-.868-.231l-1.29-.736a.245.245 0 0 0-.124-.033H8.75V13h2.5a.75.75 0 0 1 0 1.5h-6.5a.75.75 0 0 1 0-1.5h2.5V3.5h-.984a.245.245 0 0 0-.124.033l-1.289.737c-.265.15-.564.23-.869.23h-.162l2.112 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.016.015-.045.04c-.21.176-.441.327-.686.45C4.556 10.78 3.88 11 3 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L2.178 4.5H1.75a.75.75 0 0 1 0-1.5h2.234a.249.249 0 0 0 .125-.033l1.288-.737c.265-.15.564-.23.869-.23h.984V.75a.75.75 0 0 1 1.5 0Zm2.945 8.477c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L13 6.327Zm-10 0c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L3 6.327Z"></path></svg> Stratégies**., puis cliquez sur **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg>Personal access tokens**.

  2. Sélectionnez l’onglet Jetons précis ou Jetons (classiques) pour appliquer cette stratégie en fonction du type de jeton.

  3. Sous Définir les durées de vie maximales pour personal access tokens, définissez la durée de vie maximale. Les jetons doivent être créés avec une durée de vie inférieure ou égale à ce nombre de jours.

  4. Si vous le souhaitez, pour exempter vos administrateurs d’entreprise de cette stratégie, cochez la case Exempter les administrateurs. Vous devez les exempter de cette politique si vous utilisez SCIM pour le provisionnement des utilisateurs ou si vous avez une automatisation qui n’a pas encore migré vers GitHub App.

    Avertissement

    Si vous utilisez Enterprise Managed Users, vous êtes invité à accepter le risque d’interruption de service, sauf si vous exemptez vos administrateurs d’entreprise. Cela garantit que vous êtes conscient du risque potentiel.

  5. Cliquez sur Enregistrer.

Application d’une stratégie d’approbation pour fine-grained personal access tokens

Les propriétaires d’entreprise peuvent gérer les exigences d’approbation pour chacun fine-grained personal access token avec les options suivantes :

  • Autoriser les organisations à configurer les exigences d’approbation : les propriétaires d’entreprise peuvent autoriser chaque organisation de l’entreprise à définir ses propres exigences d’approbation pour les jetons. Il s’agit de la valeur par défaut.
  • Exiger l’approbation : Les propriétaires d’entreprise peuvent exiger que toutes les organisations au sein de l’entreprise approuvent chaque fine-grained personal access token pouvant accéder à l’organisation. Ces jetons peuvent toujours lire les ressources publiques au sein de l’organisation sans avoir besoin d’approbation.
  • **Désactiver l’approbation :**Fine-grained personal access tokencréés par les membres de l’organisation peuvent accéder aux organisations appartenant à l’entreprise sans approbation préalable. Les organisations ne peuvent pas remplacer ce paramètre.

Par défaut, les organisations requièrent l’approbation de fine-grained personal access tokens, mais sont en mesure de désactiver cette exigence. À l’aide des paramètres ci-dessus, vous pouvez forcer vos organisations à activer ou désactiver les approbations.

Remarque

Seuls fine-grained personal access tokens, pas personal access tokens (classic), sont soumis à l’approbation. Tout personal access token (classic) peut accéder aux ressources de l’organisation sans approbation préalable, sauf si l’organisation ou l’entreprise a restreint l'accès par personal access tokens (classic). Pour plus d’informations sur la restriction par personal access tokens (classic), consultez Restriction de l’accès par personal access tokens sur cette page et Définition d’une stratégie de jeton d’accès personnel pour votre organisation.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous Stratégies, cliquez sur Personal access tokens.
  4. Sélectionnez l’onglet Jetons détaillés.
  5. Sous Exiger l'approbation de fine-grained personal access tokens, sélectionnez votre stratégie d’approbation :
  6. Cliquez sur Enregistrer.