Revogando autorizações de SSO ou excluindo credenciais em sua empresa

Responda a um incidente de segurança tomando medidas em massa sobre credenciais com acesso à sua empresa.

Quem pode usar esse recurso?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

Neste artigo

Quando sua empresa é afetada por um incidente de segurança importante, você pode responder impedindo o acesso programático à sua empresa ou às suas organizações.

Na seção "Segurança de autenticação" das configurações da empresa, você pode examinar as contagens de tokens de usuário e chaves autorizadas para SSO (logon único). Em seguida, se necessário, você pode usar uma das seguintes ações em massa na "Zona de perigo":

  • Revogue as autorizações de SSO para remover o acesso aos recursos da organização protegidos por SSO para credenciais de usuário em sua empresa.
  • Exclua chaves e tokens para remover tokens de usuário e chaves SSH em sua empresa, mesmo que eles não tenham uma autorização de SSO (Enterprise Managed Users somente).

Aviso

Essas são ações de alto impacto que devem ser reservadas para incidentes de segurança importantes. É provável que eles interrompam as automações, e isso pode levar meses de trabalho para restaurar o seu estado original. Para obter opções alternativas para responder a tokens individuais comprometidos em uma escala menor, consulte a seção Recursos para respostas de menor escala .

Acessando a página de segurança de autenticação

  1. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
  2. Na parte superior da página, clique em Settings.
  3. Na barra lateral esquerda, clique em Segurança de Autenticação.

Revisão de credenciais

Na seção "Credenciais", você pode exibir quantas credenciais de cada tipo têm pelo menos uma autorização de SSO para uma organização em sua empresa. Para saber mais, confira AUTOTITLE.

As contagens incluem:

  • Fine-grained personal access tokens de dados
  • Personal access tokens (classic) de dados
  • Chaves SSH do usuário
  • GitHub App e OAuth app tokens de acesso de usuário

Uma contagem exata será exibida se houver 10.000 ou menos de um tipo de token. Acima dessa figura, a descrição é exibida.

Tomando medidas em massa (zona de perigo)

Use os botões de ação em massa da zona Perigo para responder a um incidente de segurança, conforme necessário. As seções a seguir descrevem cada ação, quais autorizações ou credenciais de SSO são afetadas e eventos de log de auditoria relacionados.

Observação

Se sua empresa não usar Enterprise Managed Users e não tiver habilitado o SSO do SAML, nenhuma dessas ações estará disponível. Como alternativa, se você precisar que os usuários substituam personal access tokens como parte de sua resposta a incidentes, você poderá configurar uma política empresarial para expirar todos personal access tokens. Confira AUTOTITLE.

Revogar autorizações de SSO

Essa ação está disponível para Enterprise Managed Users ou empresas que usam o SSO do SAML.

A revogação de autorizações remove as autorizações de SSO para tokens de usuário e chaves SSH em todas as organizações da sua empresa.

  • As credenciais que tiveram as autorizações de SSO revogadas não podem ser novamente autorizadas para as organizações afetadas. Para restaurar o acesso, os usuários devem criar novas credenciais e autorizá-las.
  • As credenciais em si não são excluídas, e suas permissões para os escopos do usuário e da empresa, assim como para organizações não protegidas por SSO, permanecem ativas.
  • As credenciais que não foram autorizadas para SSO não são afetadas.

A autorização para fine-grained personal access tokens funciona de forma diferente, portanto, essa ação tem um efeito diferente nesse tipo de token. Para PATs refinadas em que uma organização é o "proprietário do recurso", o proprietário do recurso é removido, removendo o acesso aos recursos da organização. Os usuários podem alterar o proprietário do recurso de volta para a conta da organização, podendo isso exigir aprovação (consulte AUTOTITLE).

Excluir chaves e tokens

Esta ação está disponível somente para Enterprise Managed Users.

Excluir chaves e tokens excluem as credenciais que têm acesso à sua empresa, autorizadas ou não para SSO. As credenciais param de funcionar e não estão mais visíveis na interface do usuário.

Para restaurar o acesso programático, os usuários devem criar novas credenciais, autorizá-las com organizações, se necessário, e atualizar os processos afetados para usar as novas credenciais.

Credenciais incluídas

Ambas as ações incluem os seguintes tipos de credencial:

  • Chaves SSH do usuário
  • OAuth apps tokens de acesso do usuário ()
  • GitHub App tokens de acesso de usuário
  • Personal access tokens (classic) de dados
  • Fine-grained personal access tokens de dados

Observe que a ação de "revogar autorizações" funciona de maneira diferente para fine-grained personal access tokens, conforme explicado acima.

Os seguintes tipos de credencial não são afetados:

  • GitHub App tokens de instalação ()
  • Fine-grained personal access tokens de dados
  • Chaves de implantação
  • GitHub Actions acesso

Eventos de log de auditoria e segurança

A ação "revogar autorizações" gera os seguintes eventos:

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

A ação "excluir tokens" também gera esses eventos e, além disso, gera os seguintes eventos:

  • oauth_access.destroy
  • personal_access_token.destroy

Recursos para respostas de menor escala

Os artigos a seguir descrevem ações alternativas para gerenciar incidentes menores no escopo, em que você pode identificar tokens ou contas de usuário comprometidas específicas.

  • AUTOTITLE
  • AUTOTITLE
  • AUTOTITLE na documentação da API REST