在企业中强制实施个人访问令牌策略

企业所有者可以通过应用策略来控制对资源的访问 personal access tokens

在本文中

限制访问通过 personal access tokens

企业所有者可以阻止其成员使用 personal access tokens 访问企业拥有的资源。 可以根据以下选项独立地为personal access tokens (classic)和fine-grained personal access tokens配置这些限制。

  • 允许组织配置访问要求: 企业下属的每个组织可以决定是否限制或允许personal access tokens的访问。 这是默认设置。
  • **限制访问方式 personal access tokens:**Personal access tokens 无法访问企业拥有的组织。 personal access tokens 生成的 SSH 密钥将继续工作。 组织不能替代此设置。
  • **允许通过 personal access tokens:**Personal access tokens 可以访问企业所属的机构。 组织不能替代此设置。

默认情况下,组织和企业允许通过fine-grained personal access tokens和personal access tokens (classic)进行访问。

无论选择的策略如何, Personal access tokens 都将有权访问由企业管理的组织内的公共资源。

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。
  2. 在页面顶部,单击“ Policies”。
  3. “策略”下,单击Personal access tokens
  4. 选择“精细令牌”或“令牌(经典)”选项卡,以基于令牌类型强制实施此策略。
  5. 限制访问您的组织时,选择访问策略。
  6. 单击“ 保存”。

强制实施最长生存期策略 personal access tokens

企业所有者可以为 fine-grained personal access tokens 和 personal access tokens (classic) 设置或删除最大生存期限制,以帮助保护企业资源。 企业内的组织所有者可进一步限制其组织的生存期策略。 请参阅强制实施最长生存期政策personal access tokens

对于 fine-grained personal access tokens,组织和企业的默认最长生存期策略设置为在 366 天内过期。 Personal access tokens (classic) 没有过期要求。

策略执行详细情况

对于 Enterprise Managed Users,企业级策略也适用于用户命名空间,因为企业拥有用户帐户。

针对 fine-grained personal access tokens 和 personal access tokens (classic) 的最大生存期策略实施方式略有不同。 对于tokens (classic),在使用令牌和尝试SSO授权时会进行强制执行,当出现错误时会提示用户调整生存周期。 因此 fine-grained personal access tokens,在创建令牌时,目标组织是已知的。 在这两种情况下,如果当前令牌超过策略限制,系统将提示用户重新生成具有合规生存期的令牌。

设置策略时,如果令牌属于你组织的成员,则具有不符合生命周期的令牌将被阻止访问你的组织。 设置此策略不会撤销或禁用这些令牌。 当组织的 API 调用被拒绝时,用户将了解到他们的现有令牌不合规。

设置最长生存期策略

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。

           1. 在页面顶部,单击“<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-law" aria-label="law" role="img"><path d="M8.75.75V2h.985c.304 0 .603.08.867.231l1.29.736c.038.022.08.033.124.033h2.234a.75.75 0 0 1 0 1.5h-.427l2.111 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.006.005-.01.01-.045.04c-.21.176-.441.327-.686.45C14.556 10.78 13.88 11 13 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L12.178 4.5h-.162c-.305 0-.604-.079-.868-.231l-1.29-.736a.245.245 0 0 0-.124-.033H8.75V13h2.5a.75.75 0 0 1 0 1.5h-6.5a.75.75 0 0 1 0-1.5h2.5V3.5h-.984a.245.245 0 0 0-.124.033l-1.289.737c-.265.15-.564.23-.869.23h-.162l2.112 4.692a.75.75 0 0 1-.154.838l-.53-.53.529.531-.001.002-.002.002-.006.006-.016.015-.045.04c-.21.176-.441.327-.686.45C4.556 10.78 3.88 11 3 11a4.498 4.498 0 0 1-2.023-.454 3.544 3.544 0 0 1-.686-.45l-.045-.04-.016-.015-.006-.006-.004-.004v-.001a.75.75 0 0 1-.154-.838L2.178 4.5H1.75a.75.75 0 0 1 0-1.5h2.234a.249.249 0 0 0 .125-.033l1.288-.737c.265-.15.564-.23.869-.23h.984V.75a.75.75 0 0 1 1.5 0Zm2.945 8.477c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L13 6.327Zm-10 0c.285.135.718.273 1.305.273s1.02-.138 1.305-.273L3 6.327Z"></path></svg> Policies”。,然后单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg>Personal access tokens**。

  2. 选择“精细令牌”或“令牌(经典)”选项卡,以基于令牌类型强制实施此策略。

  3. “设置最大生存期 personal access tokens”下,设置最长生存期。 所创建的令牌的生存期必须小于或等于此天数。

  4. 或者,若要从此策略中免除企业管理员,请选中“免除管理员”复选框。 如果使用 SCIM 进行用户预配或具有尚未迁移到 GitHub App 的自动化,则应将其从此策略中免除。

    警告

    如果使用 Enterprise Managed Users,系统将要求你接受服务中断的风险,除非免除企业管理员。 这可确保你了解潜在风险。

  5. 单击“ 保存”。

执行 fine-grained personal access tokens 的审批政策

企业所有者可以管理每个 fine-grained personal access token 的审批要求,以下是可使用的选项:

  • 允许组织配置审批要求:企业所有者可允许企业中的每个组织为令牌设置自己的审批要求。 这是默认情况。
  • 需要审批: 企业所有者可以要求企业中的所有组织必须批准每个可以访问该组织的 fine-grained personal access token。 这些令牌仍然可以读取组织内的公共资源,无需获得批准。
  • **禁用审批:**Fine-grained personal access token组织成员创建的内容可以在未经事先批准的情况下访问企业拥有的组织。 组织不能替代此设置。

默认情况下,组织需要批准 fine-grained personal access tokens,但能够禁用此要求。 使用上述设置,可以强制组织启用或禁用审批。

注意

只有 fine-grained personal access tokens,而不是 personal access tokens (classic),需要得到批准。 除非组织或企业对personal access token (classic)访问权限进行限制,否则任何人都可以在未经事先批准的情况下访问组织资源。关于限制personal access tokens (classic)的更多信息,请参阅本页面上的“限制personal access tokens的访问”为组织设置个人访问令牌策略

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。
  2. 在页面顶部,单击“ Policies”。
  3. “策略”下,单击Personal access tokens
  4. 选择 细化标记 选项卡。
  5. “审批要求 fine-grained personal access tokens”下,选择审批策略:
  6. 单击“ 保存”。