Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen

Unternehmensbesitzer können den Zugriff auf Ressourcen durch Anwenden von Richtlinien auf personal access tokens steuern.

In diesem Artikel

Note

Fine-grained personal access token befinden sich derzeit in public preview und können geändert werden. Informationen zum Hinterlassen von Feedback findest du in der Feedbackdiskussion.

Während der public preview müssen Unternehmen sich für fine-grained personal access tokens entscheiden. Sollte sich dein Unternehmen noch nicht angemeldet haben, wirst du beim Ausführen der unten angegebenen Schritte zur Anmeldung und zum Festlegen von Richtlinien aufgefordert.

Organisationen innerhalb eines Unternehmens können sich auch dann für fine-grained personal access token anmelden, wenn das Unternehmen das nicht getan hat. Alle Benutzer, einschließlich Enterprise Managed Users, können unabhängig vom Anmeldestatus des Unternehmens fine-grained personal access tokens mit Zugriff auf Ressourcen erstellen, die dem Benutzer/der Benutzerin gehören (z. B. mit ihrem Konto erstellte Repositorys).

Einschränken des Zugriffs über personal access tokens

Unternehmensbesitzer können die Verwendung von personal access tokens durch ihre Mitglieder für den Zugriff auf Ressourcen verhindern, die dem Unternehmen gehören. Sie können diese Einschränkungen für personal access tokens (classic) und fine-grained personal access tokens mit den folgenden Optionen unabhängig voneinander konfigurieren:

  • Konfiguration von Zugriffsanforderungen durch Organisationen zulassen: Jede Organisation im Besitz des Unternehmens kann entscheiden, ob der Zugriff über personal access tokens eingeschränkt oder zugelassen werden soll.
  • Zugriff über personal access tokens einschränken: Personal access tokens können nicht auf Organisationen im Besitz des Unternehmens zugreifen. Durch diese personal access tokens erstellte SSH-Schlüssel funktionieren weiterhin. Organisationen können diese Einstellung nicht außer Kraft setzen.
  • Zugriff über personal access tokens zulassen: Personal access tokens können auf Organisationen im Besitz des Unternehmens zugreifen. Organisationen können diese Einstellung nicht außer Kraft setzen.

Unabhängig von der gewählten Richtlinie haben Personal access tokens Zugriff auf öffentliche Ressourcen innerhalb der von Ihrem Unternehmen verwalteten Organisationen.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Richtlinien

  4. Klicke unter Richtlinien auf Personal access tokens .

  5. Wählen Sie entweder die Registerkarte Differenzierte Token oder Token (klassisch) aus, um diese Richtlinie basierend auf dem Tokentyp zu erzwingen.

  6. Wählen Sie unter Fine-grained personal access tokens oder Zugriff auf Ihre Organisationen durch personal access tokens (classic) einschränken Ihre Zugriffsrichtlinie aus.

  7. Klicken Sie auf Speichern.

Erzwingen einer Richtlinie für die maximale Lebensdauer für personal access tokens

Unternehmensbesitzer können sowohl für fine-grained personal access tokens und personal access tokens (classic) Werte für die zulässige maximale Lebensdauer festlegen und entfernen, um Unternehmensressourcen zu schützen. Organisationsbesitzer innerhalb des Unternehmens können die Lebensdauerrichtlinien für ihre Organisationen weiter einschränken. Siehe „Erzwingen einer Richtlinie für die maximale Lebensdauer für personal access tokens“.

Für fine-grained personal access tokens ist die Richtlinie für die maximale Lebensdauer für Organisationen und Unternehmen standardmäßig auf den Ablauf innerhalb von 366 Tagen festgelegt. Für Personal access tokens (classic) gelten keine Anforderungen an den Ablauf.

Einzelheiten zur Richtlinienerzwingung

Für Enterprise Managed Users gelten die Richtlinien auf Unternehmensebene auch für Benutzernamespaces, weil die Benutzerkonten im Besitz des Unternehmens sind.

Die Richtlinien für maximale Lebensdauer werden für fine-grained personal access tokens und personal access tokens (classic) auf etwas andere Weise erzwungen. Bei tokens (classic) erfolgt die Erzwingung, wenn das Token verwendet wird und wenn die Autorisierung mit SSO-Anmeldedaten versucht wird. Die Benutzer werden von Fehlermeldungen aufgefordert, die Lebensdauer anzupassen. Bei fine-grained personal access tokens ist die Zielorganisation zum Zeitpunkt der Tokenerstellung bekannt. In beiden Fällen werden die Benutzer aufgefordert, Token mit konformen Lebensdauern neu zu generieren, wenn das aktuelle Token den Richtliniengrenzwert überschreitet.

Wenn Sie eine Richtlinie festlegen, wird für Token mit nicht konformer Lebensdauer der Zugriff auf Ihre Organisation blockiert, wenn das Token zu einem Mitglied Ihrer Organisation gehört. Durch das Festlegen dieser Richtlinie werden diese Token nicht widerrufen oder deaktiviert. Benutzer erfahren, dass ihr vorhandenes Token nicht konform ist, wenn API-Aufrufe für Ihre Organisation abgelehnt werden.

Festlegen einer Richtlinie für die maximale Lebensdauer

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Richtlinien, klicken Sie dann auf Personal access tokens.

  4. Wählen Sie entweder die Registerkarte Differenzierte Token oder Token (klassisch) aus, um diese Richtlinie basierend auf dem Tokentyp zu erzwingen.

  5. Legen Sie unter Maximale Lebensdauer für personal access tokens festlegen die maximale Lebensdauer fest. Token müssen mit einer Lebensdauer erstellt werden, die kleiner oder gleich dieser Anzahl von Tagen ist.

  6. Optional können Sie das Kontrollkästchen Ausgenommene Administratoren aktivieren, um Ihre Unternehmensadministratoren von dieser Richtlinie auszunehmen. Sie sollten sie von dieser Richtlinie ausnehmen, wenn Sie SCIM für die Benutzerbereitstellung verwenden oder über ein noch nicht zu GitHub App migriertes Automation verfügen.

    Warning

    Wenn Sie Enterprise Managed Users verwenden, werden Sie aufgefordert, das Risiko einer Dienstunterbrechung zu akzeptieren, wenn Sie die Unternehmensadministratoren nicht ausnehmen. Dadurch wird sichergestellt, dass Ihnen das potenzielle Risiko bewusst ist.

  7. Klicken Sie auf Speichern.

Erzwingen einer Genehmigungsrichtlinie für fine-grained personal access tokens

Unternehmensbesitzer können mit den folgenden Optionen Genehmigungsanforderungen für jedes fine-grained personal access token verwalten:

  • Organisationen das Konfigurieren von Genehmigungsanforderungen erlauben: Unternehmensbesitzer können jeder Organisation im Unternehmen erlauben, eigene Genehmigungsanforderungen für die Token festzulegen.
  • Genehmigung verlangen: Unternehmensbesitzer können verlangen, dass alle Organisationen im Unternehmen fine-grained personal access token mit Zugriff auf die Organisation genehmigen müssen. Diese Token können dennoch öffentliche Ressourcen innerhalb der Organisation lesen, ohne dass eine Genehmigung erforderlich ist.
  • Genehmigung deaktivieren: Von Organisationsmitgliedern erstellte Fine-grained personal access token können ohne vorherige Genehmigung auf Organisationen im Besitz des Unternehmens zugreifen. Organisationen können diese Einstellung nicht außer Kraft setzen.

Note

Nur fine-grained personal access token und nicht personal access tokens (classic) erfordern eine Genehmigung. Alle personal access token (classic) können ohne vorherige Genehmigung auf Organisationsressourcen zugreifen, es sei denn, die Organisation oder das Unternehmen hat den Zugriff über personal access tokens (classic) eingeschränkt. Weitere Informationen zum Einschränken von personal access tokens (classic) finden Sie unter „Einschränken des Zugriffs durch personal access tokens“ auf dieser Seite und unter „Festlegen einer Richtlinie für persönliche Zugriffstoken für deine Organisation“.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Richtlinien

  4. Klicke unter Richtlinien auf Personal access tokens .

  5. Wählen Sie die Registerkarte Differenzierte Token aus.

  6. Wählen Sie unter Genehmigung von fine-grained personal access tokens verlangen Ihre Genehmigungsrichtlinie aus:

  7. Klicke auf Speichern.