Skip to main content

Enterprise Server 3.15 は、現在リリース候補として使用できます。

2 要素認証を使用したボットとサービス アカウントの管理

2 要素認証が有効になっているボットとサービス アカウントへの共有アクセスを管理できます。

2 要素認証 (2FA) を使用したボットまたはサービス アカウントの管理について

ボットやサービス アカウントなど、組織内の自動または共有アクセス アカウントに対して 2FA が有効になっていることを確認し、これらのアカウントの保護を維持する必要があります。 ボットまたはサービス アカウントに対して 2FA を有効にすることで、ユーザーは お使いの GitHub Enterprise Server インスタンス でアカウントにサインインするために、2FA で認証しなければならなくなります。 自動化において既存のトークンを使って認証するアカウントの機能には影響しません。

注: 組織で 2 要素認証の使用を必須にすると、2FA を使用しない自動アカウントはすべて組織から削除され、そのリポジトリにアクセスできなくなります。

2FA を使用したボットまたはサービス アカウントへの共有アクセスの管理

GitHub では、2FA が有効になっているボットまたはサービス アカウントへの共有アクセスを管理するために、次の手順に従うことをお勧めします。 この手順により、(自分が管理する) メーリング リストと、一元的に格納された TOTP シークレットにアクセスできるユーザーのみがアカウントにサインインできるようになります。

  1. エイリアスのメンバーとしてすべてのアカウント所有者が含まれる、ボットまたはサービス アカウントのメーリング リストを設定します。

  2. 共有アカウントの設定で、新しいメーリング リストのアドレスを、検証済みのメール アドレスとして追加します。 詳しくは、「GitHub アカウントへのメールアドレスの追加」を参照してください。

  3. まだ行っていない場合は、認証アプリ (TOTP) を使ってボットまたはサービス アカウントの 2FA を構成します。 詳しくは、「2 要素認証でアカウントを保護する」を参照してください。

  4. 2FA のセットアップ中に提供される TOTP シークレットを、組織によって使用されるパスワード マネージャーに格納します。

    注: 共有アカウントのパスワードをパスワード マネージャーに格納しないでください。 共有アカウントにサインインする必要があるたびに、パスワードのリセット機能を使います。

    既に TOTP を使って 2FA を構成しており、TOTP シークレットを見つける必要がある場合は、次の手順を使用します。

    1. 共有アカウントの設定で、 [ パスワードと認証] をクリックします。

    2. [2 要素の方法] で、[認証アプリ] の右側にある [編集] をクリックします。

    3. [認証アプリ] で、QR コードのすぐ下にある [セットアップ キー] をクリックします。

      [認証アプリ] 設定のスクリーンショット。 "セットアップ キー" というタイトルの埋め込みリンクが、濃いオレンジ色の枠線で強調表示されています。

    4. ダイアログ ボックスに表示されるシークレットをコピーします。

    5. コピーしたシークレットを使って 2FA を再構成します。

  5. TOTP シークレットから TOTP コードを生成するための CLI アプリ (oathtool など) を選択します。 アカウントにアクセスする必要があるたびに、このアプリを使って TOTP シークレットから新しい TOTP コードを生成します。 詳しくは、OATH Toolkit のドキュメントの oathtool に関するページを参照してください。

  6. アカウントにアクセスする必要がある場合は、(メーリング リスト経由で) パスワードのリセット機能を使ってパスワードをリセットし、CLI アプリを使って TOTP コードを生成します。