撤销企业中的 SSO 授权或删除凭据

通过对有权访问你的企业的凭据执行批量操作来响应安全事件。

谁可以使用此功能?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

在本文中

当企业受到重大安全事件的影响时,可以通过阻止对企业或其组织的编程访问做出响应。

在企业设置的“身份验证安全性”部分中,可以查看针对单一登录(SSO)授权的用户令牌和密钥计数。 然后,如果需要,可以在“危险操作区”中使用以下批量操作之一:

  • 撤销 SSO 授权 ,以删除企业中用户凭据对 SSO 保护的组织资源的访问权限。
  • 删除密钥和令牌 来移除您企业中的用户令牌和 SSH 密钥,即便这些用户没有单点登录 (SSO) 授权(仅限于 Enterprise Managed Users)。

警告

这些是应当留作处理重大安全事件的高影响措施。 它们可能会中断自动化,可能需要数月才能还原原始状态。 有关在较小规模上响应单个已泄露令牌的替代选项,请参阅“ 用于较小规模的响应的资源 ”部分。

访问身份验证安全页

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。
  2. 在页面顶部,单击 “Settings”********。
  3. 在左侧栏中,单击“ 身份验证安全性”。

审核凭据

在“凭据”部分,你可以查看每种类型的凭据中有多少具有至少一个针对企业中组织的 SSO 授权。 有关详细信息,请参阅“关于使用单一登录进行身份验证”。

计数包括:

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • 用户 SSH 密钥
  • GitHub App 和 OAuth app 用户访问令牌

如果某种令牌的数量为 10,000 或更少,则显示确切计数。 超过该数值时,会显示描述 10k+ tokens

采取批量行动(危险区)

使用 “危险区域”批量操作按钮根据需要来响应安全事件。 以下各节介绍每个作,哪些 SSO 授权或凭据受到影响,以及相关的审核日志事件。

注意

如果你的企业使用 Enterprise Managed Users 且启用 SAML SSO,则这些操作都不可用。 作为替代方案,如果需要用户替换 personal access tokens 作为事件响应的一部分,则可以将企业策略配置为使所有 personal access tokens 过期。 请参阅“在企业中强制实施个人访问令牌策略”。

撤销 SSO 授权

此操作适用于 Enterprise Managed Users 或使用 SAML SSO 的企业。

撤销授权会删除企业中所有组织中的用户令牌和 SSH 密钥的 SSO 授权。

  • 已撤销 SSO 授权的凭据无法重新获得受影响组织的授权。 若要还原访问权限,用户必须创建新的凭据并对其进行授权。

  • 凭据本身不会被删除,它们在用户和企业范围内,以及在未受 SSO 保护的组织中,其权限仍然有效

  • 尚未获得 SSO 授权的凭据 不受影响

            **fine-grained personal access tokens** 的授权工作方式不同,因此此操作对此令牌类型有不同的影响。 对于组织作为“资源所有者”的细粒度 PAT,资源所有者会被移除,从而失去对组织资源的访问权限。 用户可以将资源所有者更改回组织帐户,这可能需要批准(请参阅 [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-personal-access-tokens-in-your-enterprise#enforcing-an-approval-policy-for-fine-grained-personal-access-tokens))。

删除密钥和令牌

此操作仅适用于 Enterprise Managed Users。

删除密钥和令牌会删除有权访问企业的凭据,而不管它们是否获得 SSO 授权。 凭据失效且在用户界面中不再可见。

若要还原编程访问,用户必须创建新凭据、根据需要向组织授权,并更新受影响的进程以使用新凭据。

包含的凭据

这两项操作包括以下凭据类型:

  • 用户 SSH 密钥
  • OAuth apps 用户访问令牌 (ghu_)
  • GitHub App 用户访问令牌
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

请注意,如上所述,“撤销授权”操作对 fine-grained personal access tokens 的工作方式不同。

以下凭据类型 受影响:

  • GitHub App 安装令牌(ghs_
  • Fine-grained personal access tokens
  • 部署密钥
  • GitHub ActionsGITHUB_TOKEN 访问权限

审核和安全日志事件

“撤销授权”作生成以下事件:

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

“删除令牌”作还会生成这些事件,并另外生成以下事件:

  • oauth_access.destroy
  • personal_access_token.destroy

用于较小规模响应的资源

以下文章介绍了用于管理范围较小的事件的替代作,可在其中标识特定的已泄露令牌或用户帐户。