Отзыв авторизаций SSO или удаление учетных данных в вашем предприятии

Реагируйте на инцидент с безопасностью, принимая массовые меры по учётным данным с доступом к вашему предприятию.

Кто может использовать эту функцию?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

В этой статье

Когда ваше предприятие страдает от крупного инцидента с безопасностью, вы можете отреагировать, запретив программному доступу к своему предприятию или его организациям.

В разделе «Безопасность аутентификации» в корпоративных настройках вы можете просмотреть количество пользовательских токенов и ключей, авторизованных для единого входа (SSO). Затем, при необходимости, можно использовать одно из следующих массовых действий в «Зоне опасности»:

  • Отозвать авторизации SSO для удаления доступа к ресурсам организации с защищёнными SSO для использования учетных данных пользователей в вашем предприятии.
  • Удаляйте ключи и токены , чтобы удалить пользовательские и SSH-ключи в вашем предприятии, даже если у них нет авторизации SSO (Enterprise Managed Users).

Предупреждение

Это действия с высоким уровнем воздействия, которые следует резервировать для крупных инцидентов с безопасностью. Они, скорее всего, сломают автоматизацию, и восстановление исходного состояния может занять месяцы. Для альтернативных вариантов ответа на отдельные скомпрометированные токены в меньшем масштабе смотрите раздел «Ресурсы» для ответов меньшего масштаба .

Доступ к странице безопасности аутентификации

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
  3. В левой боковой панели нажмите «Безопасность аутентификации».

Проверка квалификаций

В разделе «Идентификационные данные» вы можете увидеть, сколько учётных данных каждого типа имеют хотя бы одну авторизацию SSO для организации в вашем предприятии. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа.

К ним относятся:

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • Пользовательские SSH-ключи
  • GitHub App и OAuth app пользовательские токены доступа

Точный счёт отображается, если их есть 10 000 или менее одного типа жетона. Выше этой цифры отображается описание 10k+ tokens .

Применение массовых действий (зона опасности)

Используйте кнопки Danger Zone bulk action, чтобы реагировать на инцидент с безопасностью по мере необходимости. Следующие разделы описывают каждое действие, какие авторизации или удостоверения SSO затронуты, а также связанные события журнала аудита.

Примечание.

Если ваше предприятие не использует Enterprise Managed Users и не включило SAML SSO, ни одно из этих действий недоступно. В качестве альтернативы, если вам нужно, чтобы пользователи заменили personal access tokens в рамках реагирования на инциденты, вы можете настроить корпоративную политику так, чтобы она истекла все personal access tokens. См . раздел AUTOTITLE.

Отменить авторизации SSO

Это действие доступно для Enterprise Managed Users или предприятий, использующих SAML SSO.

Отзыв авторизаций удаляет авторизации SSO для пользовательских токенов и SSH-ключей во всех организациях вашего предприятия.

  • Учётные данные, у которых были аннулированы авторизации SSO, не могут быть повторно авторизованы для затронутых организаций. Для восстановления доступа пользователям необходимо создать новые учетные данные и авторизировать их.
  • Сами учетные данные не удаляются, их права на пользовательские и корпоративные сферы деятельности, а также для организаций, не защищённых SSO, остаются активными.
  • Учётные данные, которые не были одобрены для SSO, не затрагиваются.

Авторизация для fine-grained personal access tokens работает иначе, поэтому это действие действует иначе на этот тип токена. Для мелких PAT, где организация является «владельцем ресурса», владелец ресурса убирается, что убирает доступ к ресурсам организации. Пользователи могут вернуть владельца ресурса обратно в учётную запись организации, что может требовать одобрения (см. Применение политик для персональных маркеров доступа в вашей организации).

Удаление ключей и токенов

Это действие доступно только для Enterprise Managed Users.

Удаление ключей и токенов удаляет учетные данные, имеющие доступ к вашему предприятию, независимо от того, разрешены ли они для SSO. Учетные данные перестают работать и больше не отображаются в интерфейсе.

Для восстановления программного доступа пользователям необходимо создавать новые учетные данные, авторизировать их в организациях при необходимости и обновлять затронутые процессы для использования новых учетных данных.

Включённые документы

Оба действия включают следующие типы учетных данных:

  • Пользовательские SSH-ключи
  • OAuth apps пользовательские токены доступа (ghu_)
  • GitHub App пользовательские токены доступа
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

Обратите внимание, что действие «отменить авторизации» работает иначе для fine-grained personal access tokens, как было объяснено выше.

Следующие типы учетных данных не подпадают:

  • GitHub App installation tokens (ghs_)
  • Fine-grained personal access tokens
  • Ключи развертывания
  • GitHub Actions GITHUB_TOKEN Доступ

События аудита и журнала безопасности

Действие «отзыва разрешений» порождает следующие события:

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

Действие «удалить токены» также генерирует эти события, а также следующие события:

  • oauth_access.destroy
  • personal_access_token.destroy

Ресурсы для маломасштабных ответов

Следующие статьи описывают альтернативные действия для управления инцидентами меньшего масштаба, где можно выявить конкретные скомпрометированные токены или учетные записи пользователей.