在企业中为个人访问令牌实施策略

企业所有者可以控制是否允许 fine-grained personal access token 和 personal access tokens (classic),并且可以要求批准 fine-grained personal access token。

本文内容

注意:Fine-grained personal access token 目前处于 beta 状态,且可能会更改。 若要留下反馈,请参阅反馈讨论

在 beta 版期间,企业必须选择加入 fine-grained personal access token。 如果企业尚未选择加入,执行以下步骤时,系统会提示你选择加入并设置策略。

即使企业未选择加入 fine-grained personal access token,企业拥有的组织仍然可以选择加入。 即使企业未选择加入 fine-grained personal access token,所有用户(包括 Enterprise Managed Users)都可以创建 fine-grained personal access token,它可以访问用户拥有的资源(例如在其帐户下创建的存储库)。

限制 fine-grained personal access token 的访问

企业所有者可以阻止 fine-grained personal access token 访问企业拥有的专用资源和内部资源。 Fine-grained personal access token 仍可以访问组织中的公共资源。 此设置仅控制 fine-grained personal access token 的访问,而不限制 personal access tokens (classic) 的访问。 详细了解限制 personal access tokens (classic) 的访问,请参阅此页上的“限制 personal access tokens (classic) 的访问”。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  2. 在企业列表中,单击您想要查看的企业。

  3. 在企业帐户边栏中,单击“ 策略”。

  4. 在“ 策略”下,单击“Personal access tokens” 。

  5. 选择“通过 fine-grained personal access token 的限制访问”下满足需求的选项:

    • 允许组织配置访问要求:每个企业拥有的组织可以决定是否限制 fine-grained personal access token 的访问。
    • 通过 fine-grained personal access token 的限制访问:Fine-grained personal access token 不能访问企业拥有的组织。 由 fine-grained personal access token 创建的 SSH 密钥将继续工作。 组织不能替代此设置。
    • 允许通过 fine-grained personal access token 的访问:Fine-grained personal access token 可以访问企业拥有的组织。 组织不能替代此设置。

  6. 单击“ 保存”。

为 fine-grained personal access token 实施策略

企业所有者可以提出以下要求:企业拥有的所有组织必须批准每个 fine-grained personal access token,它可以访问组织。 无需批准,Fine-grained personal access token 仍可以读取组织中的公共资源。 相反,在事先未经批准的情况下,企业所有者可以允许 fine-grained personal access token 访问企业中的组织。 企业所有者还可以允许企业中的每个组织选择自己的审批设置。

注意:只有 fine-grained personal access token 经受审批,personal access tokens (classic) 不需要审批。 如果组织或企业没有限制 personal access tokens (classic) 的访问,否则任何 personal access token (classic) 都可以访问组织资源而无需事先批准。 有关限制 personal access tokens (classic) 的详细信息,请参阅此页上的“限制 personal access tokens (classic) 的访问”和“为组织设置个人访问令牌策略”。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  2. 在企业列表中,单击您想要查看的企业。

  3. 在企业帐户边栏中,单击“ 策略”。

  4. 在“ 策略”下,单击“Personal access tokens” 。

  5. 选择“要求批准 fine-grained personal access token”下满足需求的选项:

    • 允许组织配置审批要求:每个企业拥有的组织可以决定是否要求批准 fine-grained personal access token,它可以访问组织。
    • 要求组织使用审批流:企业拥有的所有组织必须批准每个 fine-grained personal access token,它可以访问组织。 由组织所有者创建的 Fine-grained personal access token 不需要审批。 组织不能替代此设置。
    • 禁用所有组织中的审批流:无需事先批准,由组织成员创建的 Fine-grained personal access token 可以访问企业拥有的组织。 组织不能替代此设置。

  6. 单击“ 保存”。

限制 personal access tokens (classic) 的访问

企业所有者可以阻止 personal access tokens (classic) 访问企业拥有的企业和组织。 Personal access tokens (classic) 仍可以访问组织中的公共资源。 此设置仅控制 personal access tokens (classic) 的访问,而不限制 fine-grained personal access token 的访问。 详细了解限制 fine-grained personal access token 的访问,请参阅此页上的“限制 fine-grained personal access token 的访问”。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  2. 在企业列表中,单击您想要查看的企业。

  3. 在企业帐户边栏中,单击“ 策略”。

  4. 在“ 策略”下,单击“Personal access tokens” 。

  5. 选择“限制 personal access tokens (classic) 访问组织”下满足需求的选项:

    • 允许组织配置 personal access tokens (classic) 访问要求:每个企业所有的组织可以决定是否限制 personal access tokens (classic) 的访问。
    • 限制通过 personal access tokens (classic) 的访问:Personal access tokens (classic) 无法访问企业或企业拥有的组织。 由 personal access tokens (classic) 创建的 SSH 密钥可以继续使用。 组织不能替代此设置。
    • 允许通过 personal access tokens (classic) 的访问:Personal access tokens (classic) 可以访问企业或企业拥有的组织。 组织不能替代此设置。

  6. 单击“保存” 。