personal access tokens によるアクセスの制限
企業所有者は、企業のメンバーがpersonal access tokensを使用して、企業が所有するリソースにアクセスできないようにすることができます。 次のオプションを使用して、personal access tokens (classic) と fine-grained personal access tokens に対して、これらの制限を個別に構成できます。
- 組織によるアクセス要件の構成を許可する: 企業が所有する各 組織は、personal access tokens で、アクセスを制限するか許可するかを決定できます。 これが既定の設定です。
- personal access tokens を介したアクセスを制限する: Personal access tokens は、企業が所有する組織にアクセスできません。 personal access tokens によって作成された SSH キーは、引き続き機能します。 Organization は、この設定をオーバーライドできません。
- personal access tokens を介したアクセスを許可する: Personal access tokens は、企業が所有する組織にアクセスできます。 Organization は、この設定をオーバーライドできません。
Organization と Enterprise は、既定で fine-grained personal access tokens と personal access tokens (classic) の両方によるアクセスを許可します。
選択したポリシーに関係なく、Personal access tokens は、企業が管理する組織内のパブリック リソースにアクセスできます。
- GitHub の右上隅にあるプロフィール画像をクリックします。
- ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。
- ページの上部にある [ Policies] をクリックします。
- [Policies] で [Personal access tokens] をクリックします。
- トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
- Fine-grained personal access tokens または組織へのアクセスからpersonal access tokens (classic)を制限するで、アクセスポリシーを選択します。
- [保存] をクリックします。
personal access tokens の最長有効期間ポリシーを適用する
企業所有者は、fine-grained personal access tokens と personal access tokens (classic) の両方の有効期間の上限を設定および削除して、企業リソースを保護するのを支援できます。 企業内の組織の所有者は、組織の有効期間ポリシーをさらに制限できます。 「personal access tokensの最長有効期間ポリシーの適用」を参照してください。
fine-grained personal access tokens の場合、組織と企業の既定の最長有効期間ポリシーは、366 日以内に期限切れに設定されます。 Personal access tokens (classic) には、有効期限の要件がありません。
ポリシー実施の詳細
Enterprise Managed Users の場合、企業がユーザー アカウントを所有しているため、企業レベルのポリシーは、ユーザー名前空間にも適用されます。
最長有効期間に関するポリシーは、fine-grained personal access tokens と personal access tokens (classic) に対して、若干異なる方法で適用されます。 tokens (classic) の場合、トークンが使用され、SSO 資格情報の承認が試行されたときに実施が発生し、エラーによってユーザーに有効期間の調整が求められます。 fine-grained personal access tokens の場合、ターゲット組織はトークンの作成時に認識されます。 どちらの場合も、現在のトークンがポリシーの制限を超えた場合、準拠している有効期間でトークンを再生成するように求められます。
ポリシーを設定すると、準拠していない有効期間のトークンは、そのトークンが組織のメンバーに属している場合、組織へのアクセスがブロックされます。 このポリシーを設定しても、これらのトークンの取り消しも無効化も行われません。 ユーザーは、組織の API 呼び出しが拒否されたときに、既存のトークンが非準拠であることが分かります。
最長有効期間ポリシーの設定
- GitHub の右上隅にあるプロフィール画像をクリックします。
- ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。1. ページの上部にある [ Policies] をクリックします。、次に [Personal access tokens] をクリックします。
- トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
- personal access tokensの最長有効期間の設定で、最長有効期間を設定します。 トークンは、この日数以下の有効期間で作成する必要があります。
- 必要に応じて、このポリシーから企業管理者を除外するには、管理者の除外チェック ボックスをオンにします。 ユーザー プロビジョニングに SCIM を使用する場合か、まだ GitHub App に移行していない自動化がある場合は、このポリシーから除外する必要があります。
警告
Enterprise Managed Users を使用する場合は、企業管理者を除外しない限り、サービス中断のリスクを受け入れるように求められます。 これにより、潜在的なリスクを確実に把握できます。
- [保存] をクリックします。
fine-grained personal access tokens の承認ポリシーを適用する
企業所有者は、次のオプションを使用して、各 fine-grained personal access token の承認要件を管理できます。
- 組織が承認要件を構成できるようにする: 企業所有者は、企業内の各組織がトークンに対して独自の承認要件を設定することを許可できます。 これが既定です。
- 商人要件:企業所有者は、企業内のすべての組織が、組織にアクセスできる各fine-grained personal access token を承認する必要があることを要求できます。 これらのトークンは、承認を必要とせずに、組織内のパブリック リソースを読み取ることができます。
- 承認を無効にする:Organization のメンバーによって作成された Fine-grained personal access token は、事前の承認なしに Enterprise が所有する Organization にアクセスできます。 Organization は、この設定をオーバーライドできません。
Organization は、既定で fine-grained personal access tokens の承認を必要としますが、この要件を無効にすることができます。 上記の設定を使うと、organization の承認を強制的に有効または無効にすることができます。
メモ
承認の対象となるのは fine-grained personal access token だけであり、personal access tokens (classic) はなりません。 personal access token (classic) は、organization または Enterprise が personal access tokens (classic) によるアクセスを制限していない限り、事前の承認なしに organization リソースにアクセスできます。personal access tokens (classic) の制限の詳細については、このページの「personal access tokensによるアクセスの制限」と「組織の個人用アクセス トークン ポリシーを設定する」を参照してください。
- GitHub の右上隅にあるプロフィール画像をクリックします。
- ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。
- ページの上部にある [ Policies] をクリックします。
- [Policies] で [Personal access tokens] をクリックします。
- 粒度の細かいトークンタブを選択します。
- fine-grained personal access tokensの承認を要求するで、承認ポリシーを選択します。
- [保存] をクリックします。