Application de stratégies pour les jetons d’accès personnels dans votre entreprise

Les propriétaires d’organisation peuvent contrôler l’accès aux ressources en appliquant des stratégies aux personal access tokens

Dans cet article

Restriction de l’accès par les personal access tokens

Les propriétaires d’entreprise peuvent empêcher leurs membres d’utiliser les personal access tokens pour accéder aux ressources appartenant à l’entreprise. Vous pouvez configurer ces restrictions pour les personal access tokens (classic) et les fine-grained personal access tokens indépendamment avec les options suivantes :

  • Autoriser les organisations à configurer les conditions d’accès : chaque organisation appartenant à l’entreprise peut décider de restreindre ou permettre l’accès des personal access tokens. Il s’agit du paramètre par défaut.
  • Restreindre l’accès via les personal access tokens  : les Personal access tokens ne peuvent pas accéder aux ressources appartenant à l’organisation. Les clés SSH créées par ces personal access tokens continueront de fonctionner. Les organisations ne peuvent pas remplacer ce paramètre.
  • Autoriser l’accès via des personal access tokens  : les Personal access tokens peuvent accéder aux organisations appartenant à l’entreprise. Les organisations ne peuvent pas remplacer ce paramètre.

Par défaut, les organisations et les entreprises autorisent l’accès à la fois par fine-grained personal access tokens et par personal access tokens (classic).

Quelle que soit la stratégie choisie, les Personal access tokens auront accès aux ressources publiques au sein des organisation gérées par votre entreprise.

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous Politiques, cliquez sur Personal access tokens.
  4. Sélectionnez l’onglet Jetons précis ou Jetons (classiques) pour appliquer cette stratégie en fonction du type de jeton.
  5. Sous Fine-grained personal access tokens ou Limitez l’accès des personal access tokens (classic) à vos organisations, sélectionnez votre stratégie d’accès.
  6. Cliquez sur Enregistrer.

Application d’une stratégie de durée de vie maximale pour personal access tokens

Les propriétaires d’entreprise peuvent définir et supprimer des allocations de durée de vie maximales pour fine-grained personal access tokens et personal access tokens (classic) afin de protéger les ressources de l’entreprise. Les propriétaires d’organisation au sein de l’entreprise peuvent restreindre davantage les stratégies de durée de vie de leur organisation. Consultez « Application d’une stratégie de durée de vie maximale pour personal access tokens ».

Pour fine-grained personal access tokens, la stratégie de durée de vie maximale par défaut pour les organisations et les entreprises est définie pour expirer dans les 366 jours. Personal access tokens (classic) n’ont pas d’exigence d’expiration.

Détails de mise en œuvre des stratégies

Pour GHES , les stratégies au niveau de l’entreprise s’appliquent également aux espaces de noms d’utilisateur, car l’entreprise possède les comptes des utilisateurs.

Les stratégies autour des durées de vie maximales sont appliquées légèrement différemment pour les fine-grained personal access tokens et personal access tokens (classic). Pour les tokens (classic), la mise en œuvre se produit lorsque le jeton est utilisé et lorsque l’autorisation des informations d’identification SSO est tentée, et des messages d’erreur invitent les utilisateurs à ajuster la durée de vie. Pour fine-grained personal access tokens, l’organisation cible est connue au moment de la création du jeton. Dans les deux cas, les utilisateurs sont invités à régénérer des jetons avec des durées de vie conformes si le jeton actuel dépasse la limite de stratégie.

Lorsque vous définissez une stratégie, l’accès des jetons avec des durées de vie non conformes à votre organisation est bloqué si le jeton appartient à un membre de votre organisation. La définition de cette stratégie ne révoque pas et ne désactive pas ces jetons. Les utilisateurs sont informés que leur jeton existant n’est pas conforme lorsque les appels d’API pour votre organisation sont rejetés.

Définition d’une stratégie de durée de vie maximale

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
  2. En haut de la page, cliquez sur Stratégies., puis cliquez sur Personal access tokens.
  3. Sélectionnez l’onglet Jetons précis ou Jetons (classiques) pour appliquer cette stratégie en fonction du type de jeton.
  4. Sous Définir les durées de vie maximales pour personal access tokens, définissez la durée de vie maximale. Les jetons doivent être créés avec une durée de vie inférieure ou égale à ce nombre de jours.
  5. Si vous le souhaitez, pour exempter vos administrateurs d’entreprise de cette stratégie, cochez la case Exempter les administrateurs. Vous devez les exempter de cette stratégie si vous utilisez SCIM pour l’attribution d’utilisateurs ou que vous disposez d’une automatisation qui n’a pas encore migré vers GitHub App.

    Avertissement

    Si vous utilisez Enterprise Managed Users, vous serez invité à accepter le risque d’interruption de service, sauf si vous exemptez vos administrateurs d’entreprise. Cela garantit que vous êtes conscient du risque potentiel.

  6. Cliquez sur Enregistrer.

Application d’une stratégie d’approbation pour les fine-grained personal access tokens

Les propriétaires d’entreprise peuvent gérer les exigences d’approbation pour chaque fine-grained personal access token avec les options suivantes :

  • Autoriser les organisations à configurer les exigences d’approbation : les propriétaires d’entreprise peuvent autoriser chaque organisation de l’entreprise à définir ses propres exigences d’approbation pour les jetons. Il s’agit de la valeur par défaut.
  • Exiger l’approbation : les propriétaires d’entreprise peuvent imposer à toutes les organisations appartenant à l’entreprise d’approuver chaque fine-grained personal access token ayant accès à l’organisation. Ces jetons peuvent toujours lire les ressources publiques au sein de l’organisation sans avoir besoin d’approbation.
  • Désactiver l’approbation : les Fine-grained personal access token créés par les membres de l’organisation peuvent accéder aux organisations appartenant à l’entreprise sans approbation préalable. Les organisations ne peuvent pas remplacer ce paramètre.

Par défaut, les organisations exigent l’approbation de fine-grained personal access tokens, mais peuvent désactiver cette exigence. À l’aide des paramètres ci-dessus, vous pouvez forcer vos organisations à activer ou désactiver les approbations.

Remarque

Seuls les fine-grained personal access token, et non pas les personal access tokens (classic), sont soumis à approbation. Tous les personal access token (classic) peuvent accéder aux ressources de l’organisation sans approbation préalable, sauf si l’organisation ou l’entreprise a un accès restreint par les personal access tokens (classic) Pour plus d’informations sur la restriction des personal access tokens (classic), consultez « Restriction de l’accès par les personal access tokens » sur cette page et « Définition d’une stratégie de jeton d’accès personnel pour votre organisation ».

  1. Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
  2. En haut de la page, cliquez sur Stratégies.
  3. Sous Politiques, cliquez sur Personal access tokens.
  4. Sélectionnez l’onglet Jetons précis.
  5. Sous Exiger l’approbation des fine-grained personal access tokens, sélectionnez votre stratégie d’approbation :
  6. Cliquez sur Enregistrer.