Применение политик для персональных маркеров доступа в вашей организации

Владельцы предприятий могут контролировать доступ к ресурсам, применяя политики к personal access tokens

В этой статье

Ограничение доступа personal access tokens

Владельцы предприятий могут запретить своим участникам personal access tokens использовать доступ к ресурсам, принадлежащим предприятиям. Вы можете настроить эти ограничения отдельно personal access tokens (classic)fine-grained personal access tokens и независимо с помощью следующих опций:

  • Разрешить организациям настраивать требования к доступу: Каждая организация, принадлежащая компании, может решить, ограничивать или разрешать доступ через personal access tokens. Этот параметр принимается по умолчанию.
  • **Ограничить доступ через personal access tokens:**Personal access tokens не могу получить доступ к организациям, принадлежащим предприятию. SSH-ключи, созданные с помощью них personal access tokens , продолжат работать. Организации не могут переопределить этот параметр.
  • **Разрешить доступ через personal access tokens:**Personal access tokens может получить доступ к организациям, принадлежащим предприятию. Организации не могут переопределить этот параметр.

По умолчанию организации и предприятия допускают доступ как fine-grained personal access tokens через , так personal access tokens (classic)и .

Независимо от выбранной политики, Personal access tokens у вас будет доступ к государственным ресурсам внутри организаций, управляемых вашим предприятием.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.
  3. В разделе «Правила» нажмите Personal access tokens.
  4. Выберите вкладку "Точные маркеры" или "Маркеры" (классическая), чтобы применить эту политику на основе типа токена.
  5. В разделе «Fine-grained personal access tokens****Ограничение personal access tokens (classic) доступа к вашим организациям» выберите политику доступа.
  6. Нажмите кнопку Сохранить.

Применение максимального пожизненного полиса для personal access tokens

Владельцы предприятий могут устанавливать и отменять максимальные пожизненные лимиты для обоих fine-grained personal access tokens вариантов, чтобы personal access tokens (classic) помочь защитить ресурсы предприятия. Владельцы организации в организации могут дополнительно ограничить политики времени существования для своих организаций. См. Обеспечение политики максимального пожизненного срока для personal access tokens.

Для fine-grained personal access tokens, по умолчанию максимальная пожизненная политика для организаций и предприятий истекает в течение 366 дней. Personal access tokens (classic) У них нет требования по истечению срока годности.

Сведения о применении политик

Для Enterprise Managed Usersполитики корпоративного уровня применяются и к пользовательским пространствам имён, поскольку предприятие владеет учётными записями.

Политики, связанные с максимальным сроком жизни, применяются немного иначе для fine-grained personal access tokens и personal access tokens (classic). Для tokens (classic), применение осуществляется при использовании токена и при попытке авторизации учетных данных SSO, и ошибки побуждают пользователей корректировать срок жизни. Для fine-grained personal access tokens, целевая организация известна на момент создания токена. В обоих случаях пользователям будет предложено повторно создать маркеры с соответствующим временем существования, если текущий превышен предел политики.

При установке политики маркеры с несоответствующими временем существования будут заблокированы для доступа к вашей организации, если маркер принадлежит члену вашей организации. Установка этой политики не отменяет или отключает эти маркеры. Пользователи будут узнать, что существующий маркер не соответствует требованиям при отклонении вызовов API для вашей организации.

Настройка максимальной политики времени существования

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

           1. В левой части страницы на боковой панели учетной записи предприятия щелкните **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-law" aria-label="law" role="img"><path d="M8.75.75V2h.985c.304 0 .603.08.867.231l1.29.736c.038.022.08.033.124.033h2.234a.75.75 0 0 1 0 1.5h-.427l2.111 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.006.005-.01.01-.045.04c-.21.176-.441.327-.686.45C14.556 10.78 13.88 11 13 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L12.178 4.5h-.162c-.305 0-.604-.079-.868-.231l-1.29-.736a.245.245 0 0 0-.124-.033H8.75V13h2.5a.75.75 0 0 1 0 1.5h-6.5a.75.75 0 0 1 0-1.5h2.5V3.5h-.984a.245.245 0 0 0-.124.033l-1.289.737c-.265.15-.564.23-.869.23h-.162l2.112 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.016.015-.045.04c-.21.176-.441.327-.686.45C4.556 10.78 3.88 11 3 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L2.178 4.5H1.75a.75.75 0 0 1 0-1.5h2.234a.249.249 0 0 0 .125-.033l1.288-.737c.265-.15.564-.23.869-.23h.984V.75a.75.75 0 0 1 1.5 0Zm2.945 8.477c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L13 6.327Zm-10 0c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L3 6.327Z"></path></svg> Policies**., затем **кликаем<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg>Personal access token S**.

  2. Выберите вкладку "Точные маркеры" или "Маркеры" (классическая), чтобы применить эту политику на основе типа токена.

  3. В разделе Установить максимальные сроки жизни для personal access tokens, установите максимальный срок жизни. Маркеры должны создаваться с временем существования меньше или равно этому много дней.

  4. При необходимости, чтобы исключить администраторов предприятия из этой политики, установите флажок "Исключенные администраторы ". Вы должны освободить их от этой политики, если используете SCIM для настройки пользователей или у вас есть автоматизация, которая ещё не перешла на GitHub App него.

    Предупреждение

    Если вы используете Enterprise Managed Users, вас попросят принять риск прерывания сервиса, если вы не освободите администраторов вашего предприятия. Это гарантирует, что вы знаете о потенциальном риске.

  5. Нажмите кнопку Сохранить.

Применение политики одобрения для fine-grained personal access tokens

Владельцы предприятий могут управлять требованиями одобрения для каждого fine-grained personal access token из них с помощью следующих опций:

  • Разрешить организациям настраивать требования к утверждению: владельцы предприятия могут разрешить каждой организации в организации задавать собственные требования к утверждению для токенов. Это значение по умолчанию.
  • Требуется одобрение: Владельцы предприятий могут требовать, чтобы все организации внутри предприятия одобряли каждую fine-grained personal access token , которая имеет доступ к организации. Эти маркеры по-прежнему могут читать общедоступные ресурсы в организации без необходимости утверждения.
  • **Отключить одобрение:**Fine-grained personal access tokenS, созданные членами организации, могут получать доступ к организациям, принадлежащим предприятиям, без предварительного одобрения. Организации не могут переопределить этот параметр.

По умолчанию организации требуют одобрения , fine-grained personal access tokensно могут отключить это требование. Используя приведенные выше параметры, вы можете принудительно включить или отключить утверждения в организации.

Примечание.

Только fine-grained personal access tokens, а не personal access tokens (classic), подлежат одобрению. Любой personal access token (classic) может получить доступ к ресурсам организации без предварительного одобрения, если только организация или предприятие не ограничили доступ. personal access tokens (classic) Для получения дополнительной информации о ограничении personal access tokens (classic)см. раздел «Ограничение доступа» personal access tokens на этой странице и Настройка политики личного маркера доступа для вашей организации.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.
  3. В разделе «Правила» нажмите Personal access tokens.
  4. Выберите вкладку Fine-grained tokens .
  5. В разделе «Потребовать одобрения» fine-grained personal access tokens выберите свою политику одобрения:
  6. Нажмите кнопку Сохранить.