2 要素認証 (2FA) を使用したボットまたはサービス アカウントの管理について
ボットやサービス アカウントなど、組織内の自動または共有アクセス アカウントに対して 2FA が有効になっていることを確認し、これらのアカウントの保護を維持する必要があります。 ボットまたはサービス アカウントに対して 2FA を有効にすることで、ユーザーは お使いの GitHub Enterprise Server インスタンス でアカウントにサインインするために、2FA で認証しなければならなくなります。 自動化において既存のトークンを使って認証するアカウントの機能には影響しません。
注: 組織で 2 要素認証の使用を必須にすると、2FA を使用しない自動アカウントはすべて組織から削除され、そのリポジトリにアクセスできなくなります。
2FA を使用したボットまたはサービス アカウントへの共有アクセスの管理
GitHub では、2FA が有効になっているボットまたはサービス アカウントへの共有アクセスを管理するために、次の手順に従うことをお勧めします。 この手順により、(自分が管理する) メーリング リストと、一元的に格納された TOTP シークレットにアクセスできるユーザーのみがアカウントにサインインできるようになります。
-
エイリアスのメンバーとしてすべてのアカウント所有者が含まれる、ボットまたはサービス アカウントのメーリング リストを設定します。
-
共有アカウントの設定で、新しいメーリング リストのアドレスを、検証済みのメール アドレスとして追加します。 詳しくは、「GitHub アカウントへのメールアドレスの追加」を参照してください。
-
まだ行っていない場合は、認証アプリ (TOTP) を使ってボットまたはサービス アカウントの 2FA を構成します。 詳しくは、「2 要素認証でアカウントを保護する」を参照してください。
-
2FA のセットアップ中に提供される TOTP シークレットを、組織によって使用されるパスワード マネージャーに格納します。
注: 共有アカウントのパスワードをパスワード マネージャーに格納しないでください。 共有アカウントにサインインする必要があるたびに、パスワードのリセット機能を使います。
既に TOTP を使って 2FA を構成しており、TOTP シークレットを見つける必要がある場合は、次の手順を使用します。
-
共有アカウントの設定で、 [ パスワードと認証] をクリックします。
-
[2 要素の方法] で、[認証アプリ] の右側にある [編集] をクリックします。
-
[認証アプリ] で、QR コードのすぐ下にある [セットアップ キー] をクリックします。
-
ダイアログ ボックスに表示されるシークレットをコピーします。
-
コピーしたシークレットを使って 2FA を再構成します。
-
-
TOTP シークレットから TOTP コードを生成するための CLI アプリ (oathtool など) を選択します。 アカウントにアクセスする必要があるたびに、このアプリを使って TOTP シークレットから新しい TOTP コードを生成します。 詳しくは、OATH Toolkit のドキュメントの oathtool に関するページを参照してください。
-
アカウントにアクセスする必要がある場合は、(メーリング リスト経由で) パスワードのリセット機能を使ってパスワードをリセットし、CLI アプリを使って TOTP コードを生成します。