Skip to main content

Enterprise 内の個人用アクセス トークンに対するポリシーの適用

企業所有者は、ポリシーを personal access tokens に適用することで、リソースへのアクセスを制御できます

Note

Fine-grained personal access token は現在 パブリック プレビュー 段階にあり、変更される可能性があります。 フィードバックを残すには、フィードバックのディスカッションに関するページを参照してください。

パブリック プレビュー の間、企業は fine-grained personal access tokens にオプトインする必要があります。 Enterprise がまだオプトインしていない場合は、次の手順のようにすると、オプトインとポリシーの設定のダイアログが表示されます。

企業が fine-grained personal access tokens にオプトインしていない場合でも、企業が所有する組織はオプトインできます。 Enterprise Managed Users を含むすべてのユーザーは、企業の fine-grained personal access tokens に対するオプトイン状態にかかわらず、ユーザーが所有するリソース (自分のアカウントで作成されたリポジトリなど) にアクセスできる fine-grained personal access tokens を作成できます。

personal access tokens によるアクセスの制限

企業所有者は、企業のメンバーがpersonal access tokensを使用して、企業が所有するリソースにアクセスできないようにすることができます。 次のオプションを使用して、personal access tokens (classic) と fine-grained personal access tokens に対して、これらの制限を個別に構成できます。

  • 組織によるアクセス要件の構成を許可する: 企業が所有する各 組織は、personal access tokens で、アクセスを制限するか許可するかを決定できます。
  • personal access tokens を介したアクセスを制限する: Personal access tokens は、企業が所有する組織にアクセスできません。 personal access tokens によって作成された SSH キーは、引き続き機能します。 Organization は、この設定をオーバーライドできません。
  • personal access tokens を介したアクセスを許可する: Personal access tokens は、企業が所有する組織にアクセスできます。 Organization は、この設定をオーバーライドできません。

選択したポリシーに関係なく、Personal access tokens は、企業が管理する組織内のパブリック リソースにアクセスできます。

  1. GitHub の右上隅にあるプロフィール写真をクリックします。
  2. ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。
  3. ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。
  4. ポリシーの下で、 Personal access tokens をクリックします。
  5. トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
  6. Fine-grained personal access tokens または組織へのアクセスからpersonal access tokens (classic)を制限するで、アクセスポリシーを選択します。
  7. [保存] をクリックします。

personal access tokens の最長有効期間ポリシーを適用する

企業所有者は、fine-grained personal access tokens と personal access tokens (classic) の両方の有効期間の上限を設定および削除して、企業リソースを保護するのを支援できます。 企業内の組織の所有者は、組織の有効期間ポリシーをさらに制限できます。 「personal access tokensの最長有効期間ポリシーの適用」を参照してください。

fine-grained personal access tokens の場合、組織と企業の既定の最長有効期間ポリシーは、366 日以内に期限切れに設定されます。 Personal access tokens (classic) には、有効期限の要件がありません。

ポリシー実施の詳細

Enterprise Managed Users の場合、企業がユーザー アカウントを所有しているため、企業レベルのポリシーは、ユーザー名前空間にも適用されます。

最長有効期間に関するポリシーは、fine-grained personal access tokens と personal access tokens (classic) に対して、若干異なる方法で適用されます。 tokens (classic) の場合、トークンが使用され、SSO 資格情報の承認が試行されたときに実施が発生し、エラーによってユーザーに有効期間の調整が求められます。 fine-grained personal access tokens の場合、ターゲット組織はトークンの作成時に認識されます。 どちらの場合も、現在のトークンがポリシーの制限を超えた場合、準拠している有効期間でトークンを再生成するように求められます。

ポリシーを設定すると、準拠していない有効期間のトークンは、そのトークンが組織のメンバーに属している場合、組織へのアクセスがブロックされます。 このポリシーを設定しても、これらのトークンの取り消しも無効化も行われません。 ユーザーは、組織の API 呼び出しが拒否されたときに、既存のトークンが非準拠であることが分かります。

最長有効期間ポリシーの設定

  1. GitHub の右上隅にあるプロフィール写真をクリックします。
  2. ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。1. ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。、次に Personal access token をクリックします。
  3. トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
  4. personal access tokensの最長有効期間の設定で、最長有効期間を設定します。 トークンは、この日数以下の有効期間で作成する必要があります。
  5. 必要に応じて、このポリシーから企業管理者を除外するには、管理者の除外チェック ボックスをオンにします。 ユーザー プロビジョニングに SCIM を使用する場合か、まだ GitHub App に移行していない自動化がある場合は、このポリシーから除外する必要があります。

    Warning

    Enterprise Managed Users を使用する場合は、企業管理者を除外しない限り、サービス中断のリスクを受け入れるように求められます。 これにより、潜在的なリスクを確実に把握できます。

  6. [保存] をクリックします。

fine-grained personal access tokens の承認ポリシーを適用する

企業所有者は、次のオプションを使用して、各 fine-grained personal access token の承認要件を管理できます。

  • 組織が承認要件を構成できるようにする: 企業所有者は、企業内の各組織がトークンに対して独自の承認要件を設定することを許可できます。
  • 商人要件:企業所有者は、企業内のすべての組織が、組織にアクセスできる各fine-grained personal access token を承認する必要があることを要求できます。 これらのトークンは、承認を必要とせずに、組織内のパブリック リソースを読み取ることができます。
  • 承認を無効にする:Organization のメンバーによって作成された Fine-grained personal access token は、事前の承認なしに Enterprise が所有する Organization にアクセスできます。 Organization は、この設定をオーバーライドできません。

Note

承認の対象となるのは fine-grained personal access token だけであり、personal access tokens (classic) はなりません。 personal access token (classic) は、organization または Enterprise が personal access tokens (classic) によるアクセスを制限していない限り、事前の承認なしに organization リソースにアクセスできます。personal access tokens (classic) の制限の詳細については、このページの「personal access tokensによるアクセスの制限」と「組織の個人用アクセス トークン ポリシーを設定する」を参照してください。

  1. GitHub の右上隅にあるプロフィール写真をクリックします。
  2. ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。
  3. ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。
  4. ポリシーの下で、 Personal access tokens をクリックします。
  5. 粒度の細かいトークンタブを選択します。
  6. fine-grained personal access tokensの承認を要求するで、承認ポリシーを選択します。
  7. [保存] をクリックします。