Enterprise 内の個人用アクセス トークンに対するポリシーの適用

エンタープライズ所有者は、リソースへのアクセスをポリシーを適用して制御できます。 personal access tokens

この記事で

アクセスを制限する方法 personal access tokens

エンタープライズ所有者は、メンバーが personal access tokens を使用して企業が所有するリソースにアクセスできないようにすることができます。 personal access tokens (classic)とfine-grained personal access tokensのこれらの制限は、次のオプションを使用して個別に構成できます。

  • 組織がアクセス要件を構成できるようにする: 企業が所有する各組織は、 personal access tokensによるアクセスを制限するか許可するかを決定できます。 これが既定の設定です。
  • Personal access tokensすると、企業が所有する組織にアクセスできなくなります。 これらの personal access tokens によって作成された SSH キーは引き続き機能します。 Organization は、この設定をオーバーライドできません。
  • Personal access tokensすると、企業が所有する組織にアクセスできます。 Organization は、この設定をオーバーライドできません。

既定では、組織と企業は、 fine-grained personal access tokens と personal access tokens (classic)の両方でアクセスを許可します。

選択したポリシーに関係なく、 Personal access tokens は企業が管理する組織内のパブリック リソースにアクセスできます。

  1. 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
  2. ページの上部にある [ Policies] をクリックします。
  3. [ ポリシー] で、[ Personal access tokens] をクリックします。
  4. トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
  5. [ Fine-grained personal access tokens ] または [ 組織へのアクセス personal access tokens (classic) を制限する] で、アクセス ポリシーを選択します。
  6.        **[保存]** をクリックします。

の最大有効期間ポリシーを適用する personal access tokens

エンタープライズ所有者は、エンタープライズ リソースを保護するために、 fine-grained personal access tokens と personal access tokens (classic) の両方の有効期間の上限を設定および削除できます。 企業内の組織の所有者は、組織の有効期間ポリシーをさらに制限できます。 有効期間ポリシーの強制適用について参照してください。

          fine-grained personal access tokensの場合、組織と企業の既定の最長有効期間ポリシーは、366 日以内に期限切れに設定されます。 
          Personal access tokens (classic) には有効期限の要件がありません。

ポリシー実施の詳細

          Enterprise Managed Usersの場合、エンタープライズ レベルのポリシーはユーザー名前空間にも適用されます。これは、企業がユーザー アカウントを所有しているためです。

最大有効期間に関するポリシーは、 fine-grained personal access tokens と personal access tokens (classic)に対して若干異なる方法で適用されます。 tokens (classic)の場合、トークンが使用され、SSO 資格情報の承認が試行されたときに強制が発生し、エラーによってユーザーに有効期間の調整が求められます。 fine-grained personal access tokensの場合、ターゲット組織はトークンの作成時に認識されます。 どちらの場合も、現在のトークンがポリシーの制限を超えた場合、準拠している有効期間でトークンを再生成するように求められます。

ポリシーを設定すると、準拠していない有効期間のトークンは、そのトークンが組織のメンバーに属している場合、組織へのアクセスがブロックされます。 このポリシーを設定しても、これらのトークンの取り消しも無効化も行われません。 ユーザーは、組織の API 呼び出しが拒否されたときに、既存のトークンが非準拠であることが分かります。

最長有効期間ポリシーの設定

  1. 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。

           1. ページの上部にある **[<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-law" aria-label="law" role="img"><path d="M8.75.75V2h.985c.304 0 .603.08.867.231l1.29.736c.038.022.08.033.124.033h2.234a.75.75 0 0 1 0 1.5h-.427l2.111 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.006.005-.01.01-.045.04c-.21.176-.441.327-.686.45C14.556 10.78 13.88 11 13 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L12.178 4.5h-.162c-.305 0-.604-.079-.868-.231l-1.29-.736a.245.245 0 0 0-.124-.033H8.75V13h2.5a.75.75 0 0 1 0 1.5h-6.5a.75.75 0 0 1 0-1.5h2.5V3.5h-.984a.245.245 0 0 0-.124.033l-1.289.737c-.265.15-.564.23-.869.23h-.162l2.112 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.016.015-.045.04c-.21.176-.441.327-.686.45C4.556 10.78 3.88 11 3 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L2.178 4.5H1.75a.75.75 0 0 1 0-1.5h2.234a.249.249 0 0 0 .125-.033l1.288-.737c.265-.15.564-.23.869-.23h.984V.75a.75.75 0 0 1 1.5 0Zm2.945 8.477c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L13 6.327Zm-10 0c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L3 6.327Z"></path></svg> Policies]** をクリックします。をクリックし、 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg>Personal access tokenを**クリックします。

  2. トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。

  3. [personal access tokensの最大有効期間の設定] で、最大有効期間を設定します。 トークンは、この日数以下の有効期間で作成する必要があります。

  4. 必要に応じて、このポリシーから企業管理者を除外するには、管理者の除外チェック ボックスをオンにします。 ユーザー プロビジョニングに SCIM を使用する場合、またはまだ GitHub App に移行していない自動化がある場合は、このポリシーから除外する必要があります。

    警告

    Enterprise Managed Usersを使用する場合は、エンタープライズ管理者を除外しない限り、サービス中断のリスクを受け入れるように求められます。 これにより、潜在的なリスクを確実に把握できます。

  5.        **[保存]** をクリックします。

fine-grained personal access tokens に対する承認ポリシーの適用

エンタープライズ所有者は、次のオプションを使用して、各 fine-grained personal access token の承認要件を管理できます。

  • 組織が承認要件を構成できるようにする: 企業所有者は、企業内の各組織がトークンに対して独自の承認要件を設定することを許可できます。 これが既定です。
  • 承認が必要: エンタープライズ所有者は、組織内のすべての組織が、組織にアクセスできる各 fine-grained personal access token を承認する必要があります。 これらのトークンは、承認を必要とせずに、組織内のパブリック リソースを読み取ることができます。
  • **承認を無効にする:**Fine-grained personal access token組織のメンバーによって作成された s は、事前の承認なしに企業が所有する組織にアクセスできます。 Organization は、この設定をオーバーライドできません。

既定では、組織は fine-grained personal access tokensの承認を必要としますが、この要件を無効にすることはできます。 上記の設定を使うと、組織の承認を有効化または無効化することを強制することができます。

メモ

承認の対象となるのは、fine-grained personal access tokenではなくpersonal access tokens (classic)のみです。 組織または企業が personal access token (classic) によるアクセスを制限していない限り、personal access tokens (classic)は事前の承認なしに組織のリソースにアクセスできます。personal access tokens (classic)の制限の詳細については、このページと personal access tokens の[「によるアクセスの制限](/organizations/managing-programmatic-access-to-your-organization/setting-a-personal-access-token-policy-for-your-organization)」を参照してください。

  1. 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
  2. ページの上部にある [ Policies] をクリックします。
  3. [ ポリシー] で、[ Personal access tokens] をクリックします。
  4. [細かい粒度のトークン] タブを選択します。
  5. [fine-grained personal access tokensの承認を要求する] で、承認ポリシーを選択します。
  6.        **[保存]** をクリックします。