Révocation des autorisations d’authentification unique ou suppression d’informations d’identification dans votre entreprise

Répondez à un incident de sécurité en effectuant des actions en bloc sur les informations d’identification avec accès à votre entreprise.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

Dans cet article

Lorsque votre entreprise est affectée par un incident de sécurité majeur, vous pouvez répondre en empêchant l’accès programmatique à votre entreprise ou à ses organisations.

Dans la section « Sécurité de l’authentification » de vos paramètres d’entreprise, vous pouvez passer en revue les nombres de jetons utilisateur et de clés autorisés pour l’authentification unique (SSO). Ensuite, si nécessaire, vous pouvez utiliser l’une des actions en bloc suivantes dans la « zone danger » :

  •         **Révoquez les autorisations d’authentification** unique pour supprimer l’accès aux ressources d’organisation protégées par l’authentification unique pour les informations d’identification utilisateur de votre entreprise.

  •         **Supprimez les clés et les jetons** pour supprimer des jetons utilisateur et des clés SSH dans votre entreprise, même s’ils n’ont pas d’autorisation d’authentification unique (Enterprise Managed Users uniquement).

Avertissement

Il s’agit d’actions à impact élevé qui doivent être réservées aux principaux incidents de sécurité. Ils sont susceptibles d’interrompre les automatisations, et cela peut prendre des mois de travail pour restaurer votre état d’origine. Pour obtenir d’autres options pour répondre à des jetons compromis individuels à une plus petite échelle, consultez la section Ressources pour les réponses à plus petite échelle .

Accès à la page de sécurité de l’authentification

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre image de profil.
  2. Selon votre environnement, cliquez sur Entreprise, ou sur Entreprises , puis sur l’entreprise que vous souhaitez afficher.
  3. En haut de la page, cliquez sur Paramètres.
  4. Dans la barre latérale gauche, cliquez sur Sécurité de l’authentification.

Examen des informations d’identification

Dans la section « Informations d’identification », vous pouvez afficher le nombre d’informations d’identification de chaque type ayant au moins une autorisation d’authentification unique pour une organisation de votre entreprise. Pour plus d’informations, consultez « À propos de l’authentification à l’aide de l’authentification unique ».

Les nombres sont les suivants :

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • Clés SSH utilisateur
  • GitHub App et OAuth app jetons d’accès utilisateur

Un nombre exact est affiché s’il y a 10 000 ou moins d’un type de jeton. Au-dessus de cette figure, la description 10k+ tokens s’affiche.

Action en bloc (zone de danger)

Utilisez les boutons d’action en bloc de zone danger pour répondre à un incident de sécurité si nécessaire. Les sections suivantes décrivent chaque action, les autorisations ou informations d’identification de l’authentification unique qui sont affectées et les événements de journal d’audit associés.

Remarque

Si votre entreprise n’utilise pas Enterprise Managed Users et n’a pas activé l’authentification unique SAML, aucune de ces actions n’est disponible. En guise d’alternative, si vous avez besoin d’utilisateurs pour remplacer personal access tokens dans le cadre de votre réponse aux incidents, vous pouvez configurer une stratégie d’entreprise pour expirer tous personal access tokens. Consultez Application de stratégies pour les jetons d’accès personnels dans votre entreprise.

Révoquer des autorisations d’authentification unique

Cette action est disponible pour Enterprise Managed Users ou les entreprises qui utilisent l’authentification unique SAML.

La révocation des autorisations supprime les autorisations d’authentification unique pour les jetons utilisateur et les clés SSH dans toutes les organisations de votre entreprise.

  • Les informations d’identification dont les autorisations d’authentification unique ont été révoquées ne peuvent pas être réautorisées pour les organisations affectées. Pour restaurer l’accès, les utilisateurs doivent créer de nouvelles informations d’identification et les autoriser.
  • Les informations d’identification elles-mêmes ne sont pas supprimées, et leurs autorisations pour les étendues utilisateur et entreprise, et pour les organisations non protégées par l’authentification unique, restent actives.
  • Les informations d’identification qui n’ont pas été autorisées pour l’authentification unique ne sont pas affectées.

L’autorisation pour fine-grained personal access tokens fonctionne différemment. Cette action a donc un effet différent sur ce type de jeton. Pour les PAT affinés où une organisation est le « propriétaire des ressources », le propriétaire de la ressource est supprimé, en supprimant l’accès aux ressources de l’organisation. Les utilisateurs peuvent changer le propriétaire de la ressource pour le compte de l'organisation, ce qui peut nécessiter une approbation (voir Application de stratégies pour les jetons d’accès personnels dans votre entreprise).

Supprimer des clés et des jetons

Cette action est disponible pour Enterprise Managed Users uniquement.

La suppression de clés et de jetons supprime les informations d’identification qui ont accès à votre entreprise, qu’elles soient autorisées pour l’authentification unique. Les informations d’identification arrêtent de fonctionner et ne sont plus visibles dans l’interface utilisateur.

Pour restaurer l’accès par programmation, les utilisateurs doivent créer de nouvelles informations d’identification, les autoriser avec les organisations si nécessaire et mettre à jour les processus affectés pour utiliser les nouvelles informations d’identification.

Informations d’identification incluses

Les deux actions incluent les types d’informations d’identification suivants :

  • Clés SSH de l'utilisateur
  • OAuth apps jetons d’accès utilisateur (ghu_)
  • GitHub App jetons d’accès utilisateur
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

Notez que l’action « révoquer les autorisations » fonctionne différemment pour fine-grained personal access tokens, comme expliqué ci-dessus.

Les types d’informations d’identification suivants ne sont pas affectés :

  • GitHub App jetons d’installation (ghs_)
  • Fine-grained personal access tokens
  • Clés de déploiement
  • GitHub Actions GITHUB_TOKEN Accès

Événements d’audit et de journal de sécurité

L’action « révoquer les autorisations » génère les événements suivants :

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

L’action « supprimer des jetons » génère également ces événements, et génère également les événements suivants :

  • oauth_access.destroy
  • personal_access_token.destroy

Ressources pour les réponses à plus petite échelle

Les articles suivants décrivent des actions alternatives pour gérer les incidents qui sont plus petits dans l’étendue, où vous pouvez identifier des jetons compromis spécifiques ou des comptes d’utilisateur.

  •         [AUTOTITLE](/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/identifying-audit-log-events-performed-by-an-access-token)

  •         [AUTOTITLE](/code-security/tutorials/remediate-leaked-secrets/remediating-a-leaked-secret)

  •         [AUTOTITLE](/rest/credentials/revoke) dans la documentation de l’API REST