Enterprise Server 3.20 está disponível no momento como versão candidata a lançamento.

Como impor políticas para tokens de acesso pessoal na empresa

Os proprietários corporativos podem controlar o acesso aos recursos aplicando políticas a personal access tokens

Neste artigo

Restringir o acesso por personal access tokens

Os proprietários corporativos podem impedir que os membros usem personal access tokens para acessar recursos de propriedade da empresa. Você pode configurar essas restrições para personal access tokens (classic) e fine-grained personal access tokens independentemente com as seguintes opções:

  • Permitir que as organizações configurem os requisitos de acesso: cada organização pertencente à empresa pode decidir se quer restringir o acesso pelos personal access tokens. Esta é a configuração padrão.
  • Restringir acesso por meio de personal access tokens: o Personal access tokens não pode acessar recursos pertencentes à organização. As chaves SSH criadas por personal access tokens continuarão funcionando. As organizações não podem substituir essa configuração.
  • Permitir acesso por meio de personal access tokens: os Personal access tokens podem acessar as organizações pertencentes à empresa. As organizações não podem substituir essa configuração.

Por padrão, as organizações e empresas permitem acesso por fine-grained personal access tokens e personal access tokens (classic).

Independentemente da política escolhida, o Personal access tokens terá acesso aos recursos públicos dentro da organização, gerenciados pela empresa.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.
  2. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.
  3. Em Policies, clique em Personal access tokens.
  4. Selecione a guia Tokens refinados ou Tokens (clássicos) para impor essa política com base no tipo de token.
  5. Em Fine-grained personal access tokens ou Impedir personal access tokens (classic) de acessar as organizações, selecione sua política de acesso.
  6. Clique em Save (Salvar).

Aplicar uma política de vida útil máxima para personal access tokens

Os proprietários corporativos podem definir e remover permissões da vida útil máxima para fine-grained personal access tokens e personal access tokens (classic), a fim de proteger os recursos da empresa. Os proprietários da organização dentro da empresa podem restringir ainda mais as políticas de vida útil para suas organizações. Consulte Aplicar uma política de vida útil máxima para personal access tokens.

Para fine-grained personal access tokens, o padrão da política de vida útil máximo para organizações e empresas é definido para expirar em 366 dias. Personal access tokens (classic) não têm um requisito de expiração.

Detalhes da imposição da política

Para GHES , as políticas de nível empresarial também se aplicam aos namespaces de usuário porque a empresa possui as contas de usuário.

As políticas relacionadas à vida útil máxima são aplicadas de forma ligeiramente diferente para fine-grained personal access tokens e personal access tokens (classic). Para tokens (classic), a imposição ocorre quando o token é usado e quando a autorização de credencial SSO é tentada, e os erros solicitarão que os usuários ajustem a vida útil. Para fine-grained personal access tokens, a organização de destino é conhecida no momento da criação do token. Em ambos os casos, os usuários precisarão regenerar tokens com vida útil compatível se o atual exceder o limite da política.

Quando você define uma política, os tokens com vida útil não compatível serão impedidos de acessar a organização, caso o token pertença a um membro da sua organização. Definir essa política não revoga nem desabilita esses tokens. Os usuários aprenderão que o token existente não está em conformidade quando as chamadas de API para a organização forem rejeitadas.

Definir uma política de vida útil máxima

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.
  2. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies., e clique em Personal access tokens.
  3. Selecione a guia Tokens refinados ou Tokens (clássicos) para impor essa política com base no tipo de token.
  4. Em Definir a vida útil máxima para personal access tokens, definir a vida útil máxima. Os tokens devem ser criados com uma vida útil menor ou igual a esse número de dias.
  5. Opcionalmente, para isentar os administradores corporativos dessa política, marque a caixa de seleção Isentar administradores. Você deve isentá-los dessa política se usar o SCIM para provisionamento de usuários ou tiver uma automação que ainda não tenha migrado para GitHub App.

    Aviso

    Se você usar Enterprise Managed Users, será solicitado que você aceite o risco de interrupção do serviço, a menos que isente os administradores corporativos. Isso garante que você esteja ciente do risco potencial.

  6. Clique em Save (Salvar).

Impor uma política de aprovação para % data variables.product.pat_v2_plural %}

Os proprietários da empresa podem gerenciar os requisitos de aprovação para cada fine-grained personal access token, com as seguintes opções:

  • Permitir que as organizações configurem os requisitos de aprovação: os proprietários de empresas podem permitir que cada organização na empresa defina seus próprios requisitos de aprovação para os tokens. Esse é o padrão.
  • Exigir aprovação: os proprietários corporativos podem exigir que todas as organizações na empresa aprovem cada fine-grained personal access token que puder acessar a organização. Esses tokens ainda podem ler recursos públicos dentro da organização sem precisar de aprovação.
  • Desabilitar aprovação: os Fine-grained personal access tokens criados por membros da organização podem acessar organizações pertencentes à empresa sem aprovação prévia. As organizações não podem substituir essa configuração.

Por padrão, as organizações requerem aprovação do fine-grained personal access tokens, mas também podem desabilitar esse requisito. Usando as configurações acima, você pode forçar suas organizações a ter as aprovações habilitadas ou desabilitadas.

Observação

Somente fine-grained personal access tokens, não personal access tokens (classic), estão sujeitos à aprovação. Todos os personal access token (classic) podem acessar os recursos da organização sem aprovação prévia, a menos que a organização ou empresa tenha restringido o acesso por personal access tokens (classic). Para obter mais informações sobre como restringir personal access tokens (classic), consulte Restringir o acesso por personal access tokens nesta página e em Como configurar uma política de token de acesso pessoal para a organização.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.
  2. Na parte superior da página, clique em Policies.{ % else %}No lado esquerdo da página, na barra lateral da conta empresarial, clique em Policies.
  3. Em Policies, clique em Personal access tokens.
  4. Selecione a guia Tokens refinados.
  5. Em Exigir aprovação de fine-grained personal access tokens, selecione sua política de aprovação:
  6. Clique em Save (Salvar).