엔터프라이즈에서 SSO 권한 부여 취소 또는 자격 증명 삭제

엔터프라이즈에 액세스할 수 있는 자격 증명에 대해 대량 작업을 수행하여 보안 인시던트에 대응합니다.

누가 이 기능을 사용할 수 있나요?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

이 기사에서

엔터프라이즈가 주요 보안 인시던트에 의해 영향을 받는 경우 엔터프라이즈 또는 해당 조직에 프로그래밍 방식으로 액세스하지 못하게 하여 대응할 수 있습니다.

엔터프라이즈 설정의 "인증 보안" 섹션에서 SSO(Single Sign-On)에 대해 권한이 부여된 사용자 토큰 및 키의 개수를 검토할 수 있습니다. 그런 다음 필요한 경우 "위험 영역"에서 다음 대량 작업 중 하나를 사용할 수 있습니다.

  • 엔터프라이즈에서 사용자 자격 증명에 대한 SSO로 보호되는 조직 리소스에 대한 액세스를 제거하려면 SSO 권한 부여를 취소합니다.
  • 키와 토큰 삭제를 통해 SSO 인증이 없는 경우에도 엔터프라이즈에서 사용자 토큰과 SSH 키를 제거할 수 있습니다 ( 전용).

경고

이는 주요 보안 인시던트에 대해 고려해야 할 중대한 조치입니다. 자동화를 중단시킬 가능성이 높으며 원래 상태를 복원하는 데 몇 달이 걸릴 수 있습니다. 더 작은 규모로 손상된 개별 토큰에 응답하기 위한 대체 옵션은 소규모 응답에 대한 리소스 섹션을 참조하세요.

인증 보안 페이지에 액세스

  1. 귀하의 기업으로 이동하세요. 예를 들어 GitHub.com의 Enterprises 페이지에서.
  2. 페이지 맨 위에 있는 설정을 클릭합니다..
  3. 왼쪽 사이드바에서 인증 보안을 클릭합니다.

자격 증명 검토

"자격 증명" 섹션에서 엔터프라이즈의 조직에 대해 하나 이상의 SSO 권한 부여 가 있는 각 형식의 자격 증명 수를 볼 수 있습니다. 자세한 내용은 Single Sign-On을 사용한 인증에 대하여을(를) 참조하세요.

개수는 다음과 같습니다.

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • 사용자 SSH 키
  • GitHub App 및 OAuth app 사용자 액세스 토큰

토큰 유형이 10,000개 이하인 경우 정확한 개수가 표시됩니다. 이 그림 위에 설명 10k+ tokens 이 표시됩니다.

대량 작업 수행(위험 영역)

          **위험 영역** 대량 작업 단추를 사용하여 필요에 따라 보안 인시던트에 대응합니다. 다음 섹션에서는 SSO 권한 부여 또는 자격 증명이 영향을 받은 각 작업 및 관련 감사 로그 이벤트에 대해 설명합니다.

참고

귀하의 엔터프라이즈에서 Enterprise Managed Users을(를) 사용하지 않고 SAML SSO를 활성화하지 않은 경우, 이 두 가지 작업 모두 사용할 수 없습니다. 대안으로, 만약 사고 대응의 일부로 사용자들이 personal access tokens을 교체하도록 해야 한다면 모든 personal access tokens가 만료되도록 기업 정책을 구성할 수 있습니다. Enterprise에서 개인용 액세스 토큰에 대한 정책 적용을(를) 참조하세요.

SSO 권한 부여 취소

이 작업은 Enterprise Managed Users 또는 SAML SSO를 사용하는 엔터프라이즈에 사용할 수 있습니다.

권한 부여를 취소하면 엔터프라이즈의 모든 조직에서 사용자 토큰 및 SSH 키에 대한 SSO 권한 부여가 제거됩니다.

  • SSO 권한 부여가 취소된 자격 증명은 영향을 받는 조직에 대해 다시 권한을 부여할 수 없습니다 . 액세스를 복원하려면 사용자가 새 자격 증명을 만들고 권한을 부여해야 합니다.

  • 자격 증명 자체는 삭제되지 않으며 사용자 및 엔터프라이즈 범위 및 비 SSO 보호 조직에 대한 권한은 활성 상태로 유지됩니다.

  • SSO에 대한 권한이 부여되지 않은 자격 증명은 영향을 받지 않습니다.

            **fine-grained personal access tokens** 에 대한 권한 부여는 다르게 작동하므로 이 작업은 이 토큰 형식에 다른 영향을 줍니다. 조직이 "리소스 소유자"인 세분화된 PAT의 경우 리소스 소유자가 제거되어 조직 리소스에 대한 액세스가 제거됩니다. 사용자는 리소스 소유자를 조직 계정으로 다시 변경할 수 있으며, 승인이 필요할 수 있습니다( [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-personal-access-tokens-in-your-enterprise#enforcing-an-approval-policy-for-fine-grained-personal-access-tokens) 참조).

키 및 토큰 삭제

해당 동작은 Enterprise Managed Users에서만 사용할 수 있습니다.

키 및 토큰을 삭제하면 SSO에 대한 권한이 있는지 여부에 관계없이 엔터프라이즈에 액세스할 수 있는 자격 증명이 제거됩니다. 자격 증명이 작동을 중지하고 더 이상 UI에 표시되지 않습니다.

프로그래밍 방식 액세스를 복원하려면 사용자는 새 자격 증명을 만들고, 필요한 경우 조직에 권한을 부여하고, 영향을 받는 프로세스를 업데이트하여 새 자격 증명을 사용해야 합니다.

포함된 자격 증명

두 작업 모두 다음 자격 증명 형식을 포함합니다.

  • 사용자 SSH 키
  • OAuth apps 사용자 액세스 토큰 (ghu_)
  • GitHub App 사용자 액세스 토큰
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

위에서 설명한 대로 "권한 부여 해지" 작업은 fine-grained personal access tokens에 대해 다르게 작동한다는 점에 유의하세요.

다음 자격 증명 형식은 영향을 받지 않습니다 .

  • GitHub App 설치 토큰(ghs_)
  • Fine-grained personal access tokens
  • 배포 키
  • GitHub Actions GITHUB_TOKEN 엑세스

감사 및 보안 로그 이벤트

"권한 부여 해지" 작업은 다음 이벤트를 생성합니다.

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

"토큰 삭제" 작업도 이러한 이벤트를 생성하고 다음 이벤트를 추가로 생성합니다.

  • oauth_access.destroy
  • personal_access_token.destroy

소규모 응답을 위한 리소스

다음 문서에서는 특정 손상된 토큰 또는 사용자 계정을 식별할 수 있는 범위가 더 작은 인시던트 관리에 대한 대체 작업을 설명합니다.