Note
Fine-grained personal access token 目前为 公共预览版,可能会有变动。 若要留下反馈,请参阅反馈讨论。
在 公共预览版 期间,企业必须选择加入 fine-grained personal access tokens。 如果企业尚未选择加入,执行以下步骤时,系统会提示你选择加入并设置策略。
企业内部的组织可以选择加入 fine-grained personal access tokens,即使企业还没有加入。 无论企业的选择加入状态如何,所有用户(包括 Enterprise Managed Users)都可以创建 fine-grained personal access token,它可以访问用户拥有的资源(例如在其帐户下创建的存储库)。
限制 personal access tokens 的访问
企业所有者可以阻止其成员使用 personal access tokens 访问企业拥有的资源。 可以使用以下选项单独为 personal access tokens (classic) 和 fine-grained personal access tokens 配置这些限制:
- 允许组织配置访问要求:企业拥有的每个组织可以决定是否限制或允许 personal access tokens 的访问。
- 限制通过 personal access tokens (classic) 进行访问:Personal access tokens 无法访问企业拥有的组织。 由这些 personal access tokens 创建的 SSH 密钥将继续有效。 组织不能替代此设置。
- 允许通过 personal access tokens 进行访问:Personal access tokens 可以访问企业拥有的组织。 组织不能替代此设置。
无论选择的策略如何,Personal access tokens 都将有权访问由企业管理的组织内的公共资源。
-
在 的右上角,单击你的个人资料照片,然后单击“企业设置”****。
-
在页面左侧的企业帐户边栏中,单击 “策略”。
-
在“ 策略”下,单击“Personal access tokens” 。
-
选择“精细令牌”或“令牌(经典)”选项卡,以基于令牌类型强制实施此策略。
-
在 Fine-grained personal access tokens 或“限制 personal access tokens (classic) 访问组织”下,选择访问策略。
-
单击“ 保存”。
为 personal access tokens 强制实施最大生存期策略
企业所有者可以同时设置和删除 fine-grained personal access tokens 和 personal access tokens (classic) 的最长生存期限额,以帮助保护企业资源。 企业内的组织所有者可进一步限制其组织的生存期策略。 请参阅“为 personal access tokens 强制实施最大生存期策略”。
对于 fine-grained personal access tokens,组织和企业的默认最长生存期策略设置为 366 天内过期。 Personal access tokens (classic) 没有过期要求。
策略强制实施详细信息
对于 GHES ,企业级策略也适用于用户命名空间,因为企业拥有用户帐户。
对于 fine-grained personal access tokens 和 personal access tokens (classic),最大生存期的策略强制实施略有不同。 对于 tokens (classic),当使用令牌以及尝试 SSO 凭据授权时会发生强制实施,并且错误将提示用户调整生命周期。 对于 fine-grained personal access tokens,在创建令牌时,目标组织是已知的。 在这两种情况下,如果当前令牌超过策略限制,系统将提示用户重新生成具有合规生存期的令牌。
设置策略时,如果令牌属于你组织的成员,则系统将阻止具有不合规生存期的令牌访问你的组织。 设置此策略不会撤销或禁用这些令牌。 当组织的 API 调用被拒绝时,用户将了解到他们的现有令牌不合规。
设置最长生存期策略
-
在 的右上角,单击你的个人资料照片,然后单击“企业设置”****。
-
在页面左侧的企业帐户边栏中,单击 “策略”。,然后单击“ Personal access tokens”。
-
选择“精细令牌”或“令牌(经典)”选项卡,以基于令牌类型强制实施此策略。
-
在“设置 personal access tokens 的最长生存期”下,设置最长生存期。 所创建的令牌的生存期必须小于或等于此天数。
-
或者,若要从此策略中免除企业管理员,请选中“免除管理员”复选框。 如果使用 SCIM 进行用户设置或拥有尚未迁移到 GitHub App 的自动化,则应将其从此策略中免除。
Warning
如果使用 Enterprise Managed Users,则系统会要求你接受服务中断的风险,除非免除了企业管理员。 这可确保你了解潜在风险。
-
单击“ 保存”。
为 fine-grained personal access tokens 强制实施审批策略
企业所有者可以使用以下选项管理每个 fine-grained personal access token 的审批要求:
- 允许组织配置审批要求:企业所有者可允许企业中的每个组织为令牌设置自己的审批要求。
- 需要审批:企业所有者可以要求企业内的所有组织必须批准每个可以访问该组织的 fine-grained personal access token。 这些令牌仍然可以读取组织内的公共资源,无需获得批准。
- 禁用审批:无需事先批准,由组织成员创建的 Fine-grained personal access token 可以访问企业拥有的组织。 组织不能替代此设置。
Note
只有 fine-grained personal access token 需要审批,personal access tokens (classic) 不需要审批。 任何 personal access token (classic) 都可以在未经事先批准的情况下访问组织资源,除非组织或企业已限制 personal access tokens (classic) 的访问权限。有关限制 personal access tokens (classic) 的详细信息,请参阅此页上的“限制 personal access tokens 的访问”和“为组织设置个人访问令牌策略”。
-
在 的右上角,单击你的个人资料照片,然后单击“企业设置”****。
-
在页面左侧的企业帐户边栏中,单击 “策略”。
-
在“ 策略”下,单击“Personal access tokens” 。
-
选择“精细令牌”选项卡。
-
在“需要批准 fine-grained personal access tokens”下,选择审批策略:
-
单击“ 保存”。