Skip to main content

Autorisieren von OAuth-Apps

Du kannst deine GitHub Enterprise Cloud-Identität über OAuth mit Drittanbieteranwendungen verbinden. Wenn du eine OAuth app autorisierst, solltest du sicherstellen, dass die Anwendung vertrauenswürdig ist, und überprüfen, von wem sie entwickelt wurde und auf welche Daten sie zugreifen will.

Wenn eine OAuth app dich anhand deines Kontos bei GitHub identifizieren möchte, wird eine Seite mit den Kontaktdaten des Anwendungsentwicklers und einer Liste der Daten angezeigt, die angefordert werden.

Tipp: Du musst deine E-Mail-Adresse überprüfen, bevor du eine OAuth app autorisieren kannst.

OAuth app-Zugriff

OAuth apps kann Lese- oder Schreibzugriff auf deine GitHub Enterprise Cloud-Daten haben.

  • Lesezugriff ermöglicht einer App nur, deine Daten anzuzeigen.
  • Bei Schreibzugriff kann eine App deine Daten ändern.

Tipp: Wir empfehlen, dass Du Deine autorisierten Integrationen regelmäßig überprüfst. Entferne alle Applikationen und Tokens, die seit längerer Zeit nicht verwendet wurden. Weitere Informationen findest du unter Überprüfen der autorisierten OAuth-Apps.

Informationen zu OAuth-Scopes

Bereiche sind benannte Gruppen von Berechtigungen, die eine OAuth app anfordern kann, um auf öffentliche und nicht öffentliche Daten zuzugreifen.

Wenn du eine OAuth app verwenden möchtest, die in GitHub Enterprise Cloud integriert ist, teilt die App dir mit, welche Art von Zugriff auf deine Daten benötigt wird. Wenn du der App Zugriff erteilst, kann sie Aktionen für dich ausführen, z. B. Daten lesen oder ändern. Wenn du beispielsweise eine App verwenden möchtest, mit der der Geltungsbereich user:email angefordert wird, hat die App schreibgeschützten Zugriff auf deine privaten E-Mail-Adressen. Weitere Informationen findest du unter Bereiche für OAuth-Apps.

Hinweis: Derzeit kannst du Quellcode-Zugriff nicht in einen Lesezugriff ändern.

Ein Token verfügt über die gleichen Funktionen für den Zugriff auf Ressourcen und zum Ausführen von Aktionen für diese Ressourcen, über die der Besitzer des Tokens verfügt. Er ist zudem durch alle Bereiche oder Berechtigungen beschränkt, die dem Token zugewiesen werden. Ein Token kann einem Benutzer keine zusätzlichen Zugriffsfunktionen gewähren. Beispielsweise kann eine Anwendung ein Zugriffstoken erstellen, das mit einem admin:org-Bereich konfiguriert ist. Wenn der Benutzer der Anwendung aber kein Organisationsbesitzer ist, erhält die Anwendung keinen Administratorzugriff auf die Organisation.

Es gibt eine Obergrenze von zehn Token, die pro Nutzer/Anwendung/Geltungsbereich-Kombination ausgegeben werden, und eine Ratebegrenzung von zehn Token, die pro Stunde erstellt werden. Wenn eine Anwendung mehr als zehn Token für denselben Benutzer und dieselben Bereiche erstellt, werden die ältesten Token mit derselben Kombination aus Benutzer, Anwendung und Bereich entzogen. Das Erreichen der Stundensatzgrenze führt jedoch nicht zum Entzug des ältesten Tokens. Stattdessen wird eine Aufforderung zur erneuten Autorisierung im Browser ausgelöst, und der Benutzer wird aufgefordert, die der App gewährten Berechtigungen zu überprüfen. Diese Aufforderung soll eine potenzielle Endlosschleife unterbrechen, in der die App steckt, denn es gibt kaum oder überhaupt keinen Grund für eine App, vom Benutzer innerhalb einer Stunde zehn Token anzufordern.

Arten der angeforderten Daten

OAuth apps kann mehrere Arten von Daten anfordern.

DatentypBESCHREIBUNG
Commit-StatusDu kannst einer App Zugriff gewähren, um deinen Commit-Status zu melden. Mit dem Commit-Status-Zugriff können Apps anhand eines bestimmten Commits ermitteln, ob ein Build erfolgreich ist. Apps erhalten keinen Zugriff auf deinen Code, aber sie können Statusinformationen für einen bestimmten Commit lesen und bearbeiten.
BereitstellungenMit dem Zugriff auf den Bereitstellungsstatus können Apps anhand eines bestimmten Commits für öffentliche und private Repositorys ermitteln, ob eine Bereitstellung erfolgreich ist. Apps können nicht auf deinen Code zugreifen.
GistsGist-Zugriff ermöglicht Apps, sowohl öffentliche als auch geheime Gists zu lesen oder zu schreiben.
HooksWebhooks-Zugriff ermöglicht Apps das Lesen oder Schreiben von Hook-Konfigurationen in Repositorys, die du verwaltest.
BenachrichtigungenDer Benachrichtigungszugriff erlaubt es Apps, deine GitHub Enterprise Cloud-Benachrichtigungen wie Kommentare zu Issues und Pull Requests zu lesen. Die Apps können jedoch auf keine Elemente in deinen Repositorys zugreifen.
Organisationen und TeamsMit dem Organisations- und Teamzugriff können Apps auf Organisations- und Teammitglieder zugreifen und sie verwalten.
Persönliche BenutzerdatenZu Benutzerdaten gehören die Angaben in deinem Benutzerprofil, beispielsweise dein Name, deine E-Mail-Adresse und dein Standort.
RepositorysRepositoryinformationen umfassen die Namen der Mitarbeiter, die von dir erstellten Branches und die effektiven Dateien in deinem Repository. Apps können den Zugriff für öffentliche oder private Repositorys auf benutzerweiter Ebene anfordern.
Repository-LöschungApps können das Löschen von Repositorys anfordern, die du verwaltest, aber sie haben keinen Zugriff auf deinen Code.
ProjekteZugriff auf Benutzer und Organisation projects. Apps können entweder Lese-/Schreibzugriff oder schreibgeschützten Zugriff anfordern.

Aktualisierte Berechtigungen anfordern

Wenn OAuth apps neue Zugriffsrechte anfordern, informiere sie über die Unterschiede zwischen den aktuellen und den neuen Berechtigungen.

OAuth apps und Organisationen

Wenn du eine OAuth app für dein persönliches Konto autorisierst, siehst du auch, wie sich die Autorisierung auf jede Organisation auswirkt, bei der du Mitglied bist.

  • Bei Organisationen mit OAuth app-Zugriffseinschränkungen kannst du anfordern, dass Organisationsbesitzer die Anwendung für die Verwendung in dieser Organisation genehmigen. Wenn die Organisation die Anwendung nicht genehmigt, kann sie nur auf die öffentlichen Ressourcen der Organisation zugreifen. Wenn du ein Organisationsbesitzer bist, kannst du die Anwendung selbst genehmigen.

  • Bei Organisationen ohne OAuth app-Zugriffseinschränkungen wird die Anwendung automatisch für den Zugriff auf die Ressourcen dieser Organisation autorisiert. Aus diesem Grund solltest du vorsichtig sein, für welche OAuth apps du den Zugriff auf deine persönlichen Kontoressourcen sowie alle Organisationsressourcen genehmigst.

Wenn du zu Organisationen gehörst, in denen das einmalige Anmelden (Single Sign-On, SSO) für SAML aktiviert ist, und du in der Vergangenheit durch Authentifizierung über SAML eine verknüpfte Identität für diese Organisation erstellt hast, benötigst du für jede Organisation eine aktive SAML-Sitzung, wenn du eine OAuth app autorisierst.

Hinweis: Wenn beim Zugriff auf eine durch SAML geschützte Organisation Probleme mit einer autorisierten OAuth app oder GitHub App auftreten, musst du die App möglicherweise von deiner Seite Autorisierte GitHub Apps oder Autorisierte OAuth apps widerrufen, die Organisation besuchen, um dich zu authentifizieren und eine aktive SAML-Sitzung einzurichten, und dann versuchen, die App erneut zu autorisieren, indem du darauf zugreifst.

Weiterführende Themen