Administración de bots y cuentas de servicio con autenticación en dos fases

Puedes administrar el acceso compartido a los bots y las cuentas de servicio que tengan habilitada la autenticación en dos fases.

En este artículo

Acerca de la administración de bots y cuentas de servicio con autenticación en dos fases

Debes asegurarte de que la autenticación en dos fases está habilitada tanto en las cuentas desatendidas como en las cuentas de acceso compartido de tu organización, como bots y cuentas de servicio, para que estas cuentas permanezcan protegidas. La habilitación de la autenticación en dos fases en un bot o una cuenta de servicio garantiza que los usuarios deben autenticarse con la autenticación en dos fases para iniciar sesión en la cuenta en GitHub.com. No afecta a la capacidad de la cuenta para autenticarse con sus tokens existentes en automatizaciones.

Nota: Cuando exija el uso de la autenticación en dos fases para su organización, las cuentas desatendidas que no usen la autenticación en dos fases se quitarán de la organización y perderán el acceso a sus repositorios.

Administración del acceso compartido a bots o cuentas de servicio con autenticación en dos fases

GitHub recomienda seguir los pasos que se indican a continuación para administrar el acceso compartido a bots o cuentas de servicio con la autenticación en dos fases habilitada. Estos pasos garantizan que los únicos usuarios que van a poder iniciar sesión en la cuenta serán los que tengan acceso a una lista de distribución de correo (controlada por usted) y un secreto TOTP almacenado centralmente.

  1. Configura una lista de distribución de correo para el bot o la cuenta de servicio que tenga todos los propietarios de la cuenta como miembros del alias.

  2. Agrega la nueva dirección de la lista de distribución de correo como una dirección de correo electrónico comprobada en la configuración de la cuenta compartida. Para más información, vea «Agregar una dirección de correo electrónico a tu cuenta de GitHub».

  3. Si aún no lo has hecho, configura la autenticación en dos fases para la cuenta de servicio o bot que usa una aplicación autenticadora (TOTP). Para más información, vea «Asegurar tu cuenta con autenticación de dos factores (2FA)».

  4. Almacena el secreto TOTP que se ofrece durante la configuración de la autenticación en dos fases en el administrador de contraseñas que usa tu organización.

    Nota: No almacenes la contraseña de la cuenta compartida en el administrador de contraseñas. Debes usar la funcionalidad de restablecimiento de contraseña siempre que necesites iniciar sesión en la cuenta compartida.

    Si ya has configurado la autenticación en dos fases mediante TOTP y necesitas buscar el secreto TOTP, sigue estos pasos:

    1. En la configuración de la cuenta compartida, haz clic en Contraseña y autenticación.

    2. En "Métodos de dos fases", a la derecha de "Aplicación Authenticator", haz clic en Editar.

    3. En "Aplicación Authenticator", inmediatamente debajo del código QR, haz clic en la clave de configuración.

      Captura de pantalla de la configuración de la "aplicación Authenticator". Un vínculo insertado, titulado "clave de configuración", aparece resaltado con un contorno naranja oscuro.

    4. Copia el secreto que se muestra en el cuadro de diálogo.

    5. Vuelve a configurar la autenticación en dos fases mediante el secreto copiado.

  5. Selecciona una aplicación de la CLI (como oathtool) para generar códigos de TOTP a partir del secreto TOTP. Usarás la aplicación para generar un nuevo código TOTP a partir del secreto TOTP cada vez que necesites acceder a la cuenta. Para más información, consulta oathtool en la documentación de OATH Toolkit.

  6. Cuando necesites acceder a la cuenta, usa la funcionalidad de restablecimiento de contraseña para restablecer la contraseña (a través de la lista de distribución de correo) y usa la aplicación de la CLI para generar un código de TOTP.