Como impor políticas para tokens de acesso pessoal na empresa

Os proprietários corporativos podem controlar o acesso aos recursos aplicando políticas a personal access tokens

Neste artigo

Restringindo o acesso por personal access tokens

Os proprietários da empresa podem impedir que seus membros usem personal access tokens para acessar recursos pertencentes à empresa. Você pode configurar essas restrições para personal access tokens (classic) e fine-grained personal access tokens de forma independente com as seguintes opções:

  • Permitir que as organizações configurem os requisitos de acesso: Cada organização pertencente à empresa pode decidir se deseja restringir ou permitir o acesso por personal access tokens. Esta é a configuração padrão.
  • **Restringir o acesso por meio personal access tokensde:**Personal access tokens não é possível acessar organizações pertencentes à empresa. As chaves SSH criadas por elas personal access tokens continuarão funcionando. As organizações não podem substituir essa configuração.
  • **Permitir acesso através de personal access tokens:**Personal access tokens pode acessar organizações pertencentes à empresa. As organizações não podem substituir essa configuração.

Por padrão, organizações e empresas permitem o acesso por ambos fine-grained personal access tokens e personal access tokens (classic).

Independentemente da política escolhida, Personal access tokens terá acesso aos recursos públicos dentro das organizações gerenciadas por sua empresa.

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
  2. Na parte superior da página, clique em Policies.
  3. Em Políticas, clique Personal access tokens.
  4. Selecione a guia Tokens refinados ou Tokens (clássicos) para impor essa política com base no tipo de token.
  5. Em Fine-grained personal access tokens ou Restringir personal access tokens (classic) o acesso às suas organizações, selecione sua política de acesso.
  6. Clique em Save (Salvar).

Implementando uma política de vida útil máxima para personal access tokens

Os proprietários empresariais podem definir e remover limites máximos de tempo de vida para ambos fine-grained personal access tokens e personal access tokens (classic) para ajudar a proteger os recursos empresariais. Os proprietários de organizações dentro da empresa podem restringir ainda mais as políticas de validade de suas organizações. Confira a aplicação de uma política de duração máxima para personal access tokens.

Para fine-grained personal access tokens, a política padrão de tempo de vida máximo para organizações e corporações está definida para expirar em até 366 dias. Personal access tokens (classic) não têm um requisito de expiração.

Detalhes da aplicação da política

Para Enterprise Managed Users, as políticas de nível empresarial também se aplicam aos namespaces de usuário porque a empresa possui as contas de usuário.

As políticas em torno do tempo máximo de vida são impostas de forma ligeiramente diferente para fine-grained personal access tokens e personal access tokens (classic). Para tokens (classic), a imposição ocorre quando o token é usado e quando a autorização de credencial de SSO é tentada, e os erros solicitam que os usuários ajustem o tempo de vida. Pois fine-grained personal access tokens, a organização de destino é conhecida no momento da criação do token. Em ambos os casos, os usuários serão solicitados a regenerar tokens com tempo de vida em conformidade se o atual exceder o limite da política.

Quando você define uma política, os tokens com vida útil não compatível serão impedidos de acessar a organização, caso o token pertença a um membro da sua organização. Definir essa política não revoga nem desabilita esses tokens. Os usuários aprenderão que o token existente não está em conformidade quando as chamadas de API para a organização forem rejeitadas.

Definir uma política de vida útil máxima

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.

           1. Na parte superior da página, clique em **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-law" aria-label="law" role="img"><path d="M8.75.75V2h.985c.304 0 .603.08.867.231l1.29.736c.038.022.08.033.124.033h2.234a.75.75 0 0 1 0 1.5h-.427l2.111 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.006.005-.01.01-.045.04c-.21.176-.441.327-.686.45C14.556 10.78 13.88 11 13 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L12.178 4.5h-.162c-.305 0-.604-.079-.868-.231l-1.29-.736a.245.245 0 0 0-.124-.033H8.75V13h2.5a.75.75 0 0 1 0 1.5h-6.5a.75.75 0 0 1 0-1.5h2.5V3.5h-.984a.245.245 0 0 0-.124.033l-1.289.737c-.265.15-.564.23-.869.23h-.162l2.112 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.016.015-.045.04c-.21.176-.441.327-.686.45C4.556 10.78 3.88 11 3 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L2.178 4.5H1.75a.75.75 0 0 1 0-1.5h2.234a.249.249 0 0 0 .125-.033l1.288-.737c.265-.15.564-.23.869-.23h.984V.75a.75.75 0 0 1 1.5 0Zm2.945 8.477c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L13 6.327Zm-10 0c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L3 6.327Z"></path></svg> Policies**., em seguida, clique **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg>Personal access tokens**.

  2. Selecione a guia Tokens refinados ou Tokens (clássicos) para impor essa política com base no tipo de token.

  3. Em Definir tempo de vida máximo para personal access tokens, defina o tempo de vida máximo. Os tokens devem ser criados com uma vida útil menor ou igual a esse número de dias.

  4. Opcionalmente, para isentar os administradores corporativos dessa política, marque a caixa de seleção Isentar administradores. Você deve isentá-los na política se você usar o SCIM para provisionamento de usuário ou se tiver uma automação que ainda não tenha migrado para GitHub App.

    Aviso

    Se você usar Enterprise Managed Users, será solicitado que você aceite o risco de interrupção do serviço, a menos que isenta os administradores corporativos. Isso garante que você esteja ciente do risco potencial.

  5. Clique em Save (Salvar).

Implementar uma política de aprovação para fine-grained personal access tokens

Os proprietários de empresas podem gerenciar os requisitos de aprovação para cada fine-grained personal access token com as seguintes opções:

  • Permitir que as organizações configurem os requisitos de aprovação: os proprietários de empresas podem permitir que cada organização na empresa defina seus próprios requisitos de aprovação para os tokens. Esse é o padrão.
  • Exigir aprovação: Os proprietários da empresa podem exigir que todas as organizações dentro da empresa aprovem cada fine-grained personal access token que possa acessar a organização. Esses tokens ainda podem ler recursos públicos dentro da organização sem precisar de aprovação.
  • **Desabilitar aprovação:**Fine-grained personal access tokenos itens criados pelos membros da organização podem acessar organizações pertencentes à empresa sem aprovação prévia. As organizações não podem substituir essa configuração.

Por padrão, as organizações exigem aprovação de fine-grained personal access tokens, mas podem desabilitar esse requisito. Usando as configurações acima, você pode forçar suas organizações a ter as aprovações habilitadas ou desabilitadas.

Observação

Somente fine-grained personal access tokens, não personal access tokens (classic), estão sujeitos à aprovação. Qualquer pessoa personal access token (classic) pode acessar recursos da organização sem aprovação prévia, a menos que a organização ou a empresa tenha restringido o acesso com base em personal access tokens (classic) Para obter mais informações sobre a restrição de personal access tokens (classic), consulte Restringir o acesso por personal access tokens nesta página e em Como configurar uma política de token de acesso pessoal para a organização.

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
  2. Na parte superior da página, clique em Policies.
  3. Em Políticas, clique em Personal access tokens.
  4. Selecione a guia Tokens granulares.
  5. Em Exigir aprovação de fine-grained personal access tokens, selecione sua política:
  6. Clique em Save (Salvar).