Referenz zu GitHub-Anmeldeinformationstypen

Referenzdokumentation für alle programmgesteuerten Anmeldeinformationstypen, die auf GitHub zugreifen können, einschließlich Tokenformate, Lebensdauer, SSO-Autorisierungsfunktionen und Sperroptionen.

In diesem Artikel

Dieser Artikel bietet eine konsolidierte Referenz für alle programmatischen Anmeldeinformationstypen, die auf GitHub zugreifen können. Verwenden Sie diesen Verweis, um Aktivitäten zu überwachen und die Sperrung von Anmeldeinformationen zu verwalten, insbesondere bei Sicherheitsvorfällen.

Übersicht über Anmeldeinformationstypen

In der folgenden Tabelle sind alle Anmeldeinformationstypen aufgeführt, auf die programmgesteuert zugegriffen werden kann GitHub.

BerechtigungstypZugangsdaten-PräfixLebensdauerWiderrufZugeordnet an
Personal access token (classic)ghp_LanglebigManuellBenutzerkonto
Fine-grained personal access tokengithub_pat_Konfigurierbar (bis zu 1 Jahr oder kein Ablauf)ManuellBenutzerkonto
          [
          OAuth app Zugriffstoken](#oauth-app-access-tokens) | `gho_` | Langlebig | Manuell | Benutzerkonto |

| GitHub App Benutzerzugriffstoken | ghu_ | Kurzlebig (8 Stunden) | Automatisches Ablaufen oder Manuelles | Benutzerkonto | | GitHub App Installationszugriffstoken | ghs_ | Kurzlebig (1 Stunde) | Automatisches Ablaufen | App-Installation | | GitHub App Aktualisierungstoken | ghr_ | Langlebig (6 Monate) | Manuell | Benutzerkonto | | SSH-Schlüssel des Benutzers | Nicht anwendbar | Langlebig | Manuell | Benutzerkonto | | Bereitstellen des Schlüssels | Nicht anwendbar | Langlebig | Manuell | Repository | | GITHUB_TOKEN (GitHub Actions) | Nicht anwendbar | Kurzlebig (Jobdauer) | Automatisches Ablaufen | Workflow-Ausführung |

Widerruf von Anmeldeinformationen

In den folgenden Abschnitten werden die Widerrufsoptionen für jeden Anmeldedatentyp basierend auf Ihrer Rolle beschrieben. Siehe auch Tokenexpirierung und Widerruf.

Hinweis

Unternehmensbesitzer haben Optionen für Massenaktionen in wichtigen Vorfällen. Siehe Massenaktionen für Sicherheitsvorfälle.

Personal access token (classic)

  • Wenn das Token Zu Ihnen gehört, können Sie es über Ihre persönlichen Kontoeinstellungen löschen. Siehe Verwalten deiner persönlichen Zugriffstoken.

  • Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.

  •         **Organisationsbesitzer** und **Unternehmensbesitzer** haben keine direkte Sichtbarkeit oder Kontrolle über einzelne Token. Sie können jedoch:

  •         **Organisationsbesitzer und Unternehmensbesitzer**GitHub Enterprise Cloud mit erzwungenem SSO können die SSO-Autorisierung für einen bestimmten personal access token (classic)Benutzer widerrufen. Details finden Sie [unter Widerrufen der SSO-Autorisierung](#revoking-sso-authorization) .

  •         **Wird automatisch** widerrufen, wenn sie an ein öffentliches Repository oder einen Gist verschoben wurde oder für ein Jahr nicht verwendet wird. Siehe [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation).

Fine-grained personal access token

  • Wenn das Token Zu Ihnen gehört, können Sie es über Ihre persönlichen Kontoeinstellungen löschen. Siehe Verwalten deiner persönlichen Zugriffstoken.

  • Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.

  •         **Organisationsbesitzer**: Kann einzelne Token anzeigen und widerrufen. Beachten Sie jedoch, dass beim Widerrufen eines fine-grained personal access tokenOrganisationsbesitzers alle ssh-Schlüssel, die mit dem Token erstellt wurden, weiterhin funktionieren und das Token weiterhin öffentliche Ressourcen innerhalb der Organisation lesen kann. Die Widerrufung ändert den Ressourcenbesitzer von der Organisation auf den Benutzer, und der Benutzer kann sie wieder zuweisen. Siehe [AUTOTITLE](/organizations/managing-programmatic-access-to-your-organization/reviewing-and-revoking-personal-access-tokens-in-your-organization).

  •         **Organisationsbesitzer** und **Unternehmensbesitzer** können:

  •         **Wird automatisch** widerrufen, wenn sie an ein öffentliches Repository oder einen Gist verschoben wurde oder für ein Jahr nicht verwendet wird. Siehe [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation).


          OAuth app Zugriffstoken

* Benutzer können ihre Autorisierung für eine OAuth app in ihren persönlichen Kontoeinstellungen widerrufen, wodurch alle token widerrufen werden, die der App zugeordnet sind. Siehe Überprüfen der autorisierten OAuth-Apps.

  • Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.
  •         **Organisationsbesitzer** können einen zuvor genehmigten OAuth appZugriff auf die Organisation verweigern. Siehe [AUTOTITLE](/enterprise-cloud@latest/organizations/managing-oauth-access-to-your-organizations-data/denying-access-to-a-previously-approved-oauth-app-for-your-organization).
  • Unternehmens- und Organisationsbesitzer können die SSO-Autorisierung für einzelne OAuth app Token nicht direkt widerrufen.
  •         **Wird automatisch** widerrufen, wenn sie an ein öffentliches Repository oder einen Gist verschoben wurde oder für ein Jahr nicht verwendet wird. Siehe [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation).


          GitHub App Benutzerzugriffstoken

* Benutzer können ihre Autorisierung für eine GitHub App in ihren persönlichen Kontoeinstellungen widerrufen. Beachten Sie, dass dadurch die Autorisierung für alle Organisationen widerrufen wird, nicht nur eine bestimmte. Siehe Überprüfen und Widerrufen der Autorisierung von GitHub Apps.

  • Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.
  •         **Organisationsbesitzer** können Benutzerautorisierungen nicht direkt widerrufen, die App kann jedoch angehalten oder deinstalliert werden, um den Zugriff auf Organisationsressourcen zu verhindern. Siehe [AUTOTITLE](/apps/using-github-apps/reviewing-and-modifying-installed-github-apps).
  • Unternehmens- und Organisationsbesitzer können die SSO-Autorisierung für einzelne GitHub App Benutzerzugriffstoken nicht direkt widerrufen.
  •         **Läuft standardmäßig** nach 8 Stunden automatisch ab. Siehe [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation#user-token-expired-due-to-github-app-configuration).


          GitHub App Aktualisierungstoken

* Benutzer können die GitHub App Autorisierung widerrufen, wodurch auch zugeordnete Aktualisierungstoken ungültig werden. Siehe Überprüfen und Widerrufen der Autorisierung von GitHub Apps.

  • Wenn das Token einer anderen Person gehört und der tatsächliche Tokenwert bekannt ist, kann jeder eine Anforderung senden, um es mithilfe der REST-API zu widerrufen. Die API erfordert keine Authentifizierung – jeder Benutzer mit dem Tokenwert kann sie zur Sperrung übermitteln. Siehe Widerruf in der REST-API-Dokumentation.
  •         **Läuft automatisch** nach 6 Monaten ab.


          GitHub App Installationszugriffstoken

* App-Besitzer können die Berechtigungen über DELETE /installation/token widerrufen. Siehe REST-API-Endpunkte für GitHub App Installationen. * Organisationsbesitzer und Unternehmensbesitzer: Kann die App aus der Organisation deinstallieren, wodurch alle zugehörigen Installationstoken deaktiviert werden. Siehe Überprüfen und Ändern der installierten GitHub Apps. * Läuft nach 1 Stunde automatisch ab .

Benutzer-SSH-Schlüssel

  •         **Benutzer** können die Anmeldeinformationen über **einstellungen > SSH- und GPG-Schlüssel** löschen. Siehe [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-ssh-keys).

  •         **Organisationsbesitzer und Unternehmensbesitzer**GitHub Enterprise Cloud mit erzwungenem SSO können die SSO-Autorisierung für einen bestimmten SSH-Schlüssel widerrufen. Nach dem Widerrufen kann derselbe Schlüssel nicht erneut autorisiert werden– der Benutzer muss einen neuen SSH-Schlüssel erstellen. Details finden Sie [unter Widerrufen der SSO-Autorisierung](#revoking-sso-authorization) .

  •         **Wird automatisch gelöscht** , wenn sie für ein Jahr nicht verwendet wird. Siehe [AUTOTITLE](/enterprise-cloud@latest/authentication/troubleshooting-ssh/deleted-or-missing-ssh-keys).

Weitere Informationen zu SSH-Schlüsseln finden Sie unter Hinzufügen eines neuen SSH-Schlüssels zu Ihrem GitHub Konto.

Schlüssel bereitstellen

  •         **Repositoryadministratoren** können Schlüssel über **Repositoryeinstellungen > Sicherheit > Bereitstellen von Schlüsseln** löschen. Auch über die DEPLOY Keys REST-API verfügbar. Siehe [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-deploy-keys).

  •         **Organisationsbesitzer** können die Bereitstellung von Schlüsseln vollständig in der gesamten Organisation deaktivieren, wodurch alle vorhandenen Bereitstellungsschlüssel deaktiviert werden. Siehe [AUTOTITLE](/organizations/managing-organization-settings/restricting-deploy-keys-in-your-organization).

  •         **Unternehmensbesitzer** können eine Richtlinie erzwingen, um die Bereitstellung von Schlüsseln in allen Repositorys zu deaktivieren. Siehe [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-repository-management-policies-in-your-enterprise).

Weitere Informationen zur Bereitstellung von Schlüsseln finden Sie unter Verwalten von Bereitstellungsschlüsseln.

          `GITHUB_TOKEN` (GitHub Actions)

* Läuft automatisch ab: Die GITHUB_TOKEN wird zu Beginn jedes Workflowauftrags erstellt und läuft ab, wenn der Auftrag abgeschlossen ist. Es gibt keinen manuellen Sperrmechanismus. Während eines Vorfalls können Sie GitHub Actions im Repository deaktivieren, um zu verhindern, dass neue Token ausgegeben werden.

Weitere Informationen GITHUB_TOKENfinden Sie unter GITHUB_TOKEN.

SSO-Autorisierung

Wenn einmaliges Anmelden (Single Sign-On, SSO) auf Unternehmensebene erforderlich ist, auf Organisationsebene erzwungen oder für eine Organisation aktiviert ist und ein Mitglied eine Identität verknüpft hat, müssen bestimmte Anmeldeinformationstypen für eine Organisation autorisiert werden, bevor sie auf Organisationsressourcen zugreifen können. Die folgende Tabelle gibt an, welche Anmeldedatentypen durch eine Organisation autorisiert werden können.

TokentypUnterstützt SSO-AutorisierungAdministratoren können die SSO-Autorisierung widerrufen.
Personal access token (classic)
Fine-grained personal access token
          OAuth app Zugriffstoken | 
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Yes" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>
          [^1] | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-x" aria-label="No" role="img"><path d="M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z"></path></svg> |

| GitHub App Benutzerzugriffstoken | [^1] | | | GitHub App Installationszugriffstoken | (nicht erforderlich) | Nicht anwendbar | | GitHub App Aktualisierungstoken | | Nicht anwendbar | | SSH-Schlüssel des Benutzers | | | | Deploy-Schlüssel | (repository-bezogen) | Nicht anwendbar | | GITHUB_TOKEN (GitHub Actions) | (Repository-umfang) | Nicht anwendbar |

          [^1]: SSO authorization is granted automatically when the user authorizes the app during an active SAML or OIDC session. These authorizations are not visible to users or admins in the GitHub UI, and are not returned by the [List SAML SSO authorizations for an organization](/rest/orgs/orgs#list-saml-sso-authorizations-for-an-organization) REST API endpoint.

Informationen zum Autorisieren von Anmeldeinformationen für SSO finden Sie unter Autorisieren eines persönlichen Zugriffstokens für die Verwendung mit Single Sign-On, Verwalten deiner persönlichen Zugriffstoken und Einen SSH-Schlüssel für die Verwendung mit Single Sign-On autorisieren.

Widerrufen der SSO-Autorisierung

Bei GitHub Enterprise Cloud erzwungenem SSO gibt es zwei unabhängige Eindämmungsoptionen, wenn eine Anmeldeinformation die SSO-Autorisierung unterstützt:

  •         **Löschen oder widerrufen Sie die Anmeldeinformationen selbst**: Entfernt dauerhaft den gesamten Zugriff, der den Anmeldeinformationen zugeordnet ist. Sehen Sie in den oben genannten Abschnitten zu den Anmeldeinformationstypen nach, wer diese Aktion ausführen kann.

  •         **Widerrufen Sie die SSO-Autorisierung der Anmeldeinformationen**: Verhindert, dass die Anmeldeinformationen auf die Ressourcen einer bestimmten Organisation zugreifen können, ohne sie zu löschen. Nach dem Widerrufen kann der Benutzer die gleichen Anmeldeinformationen nicht erneut autorisieren. sie müssen eine neue erstellen.

Unternehmensadministratoren und Organisationsbesitzer können die SSO-Autorisierung für diejenigen Zugangstypen widerrufen, die in der obigen Tabelle markiert sind.

  •         **Organisationsbesitzer** können SSO-Autorisierungen für Organisationen mit SSO auf Organisationsebene über die GitHub Benutzeroberfläche verwalten. Siehe [AUTOTITLE](/enterprise-cloud@latest/organizations/granting-access-to-your-organization-with-saml-single-sign-on/viewing-and-managing-a-members-saml-access-to-your-organization).

  •         **Unternehmensbesitzer** können SSO-Autorisierungen für Unternehmen mit SSO auf Unternehmensebene (einschließlich Enterprise Managed Users) über die GitHub Benutzeroberfläche verwalten. Siehe [AUTOTITLE](/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise#viewing-and-revoking-authorized-credentials).

Sie können SSO-Autorisierungen auch über die REST-API verwalten. Siehe REST-API-Endpunkte für Organisationen.

Während eines Sicherheitsvorfalls können Unternehmensbesitzer SSO-Autorisierungen massenweise widerrufen. Siehe Massenaktionen für Sicherheitsvorfälle.

Massenaktionen für Sicherheitsvorfälle

Bei einem großen Sicherheitsvorfall gibt es einige Massenaktionen auf Unternehmensebene, die Unternehmensbesitzer auf GitHub Enterprise Cloud ergreifen können, um schnell zu handeln. Diese Aktionen wirken sich auf SSH-Schlüssel des Benutzers, OAuth app Benutzerzugriffstoken, GitHub App Benutzerzugriffstoken, personal access tokens (classic) und fine-grained personal access tokens aus. Sie wirken sich nicht auf GitHub App Installationszugriffstokens, Bereitstellungsschlüssel oder GITHUB_TOKEN aus.

Warnung

Hierbei handelt es sich um Aktionen mit hohem Einfluss, die für wichtige Sicherheitsvorfälle reserviert werden sollten. Wahrscheinlich brechen sie Automatisierungen, und es kann Monate dauern, bis Der ursprüngliche Zustand wiederhergestellt wird.

  •         **Sperren von SSO**: Vorübergehendes Blockieren von SSO für alle Benutzer mit Ausnahme von Unternehmensinhabern, um den Zugriff auf SSO-geschützte Ressourcen zu verhindern. Verfügbar für Enterprise Managed Users oder Unternehmen, die SSO verwenden. Siehe [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/lock-down-sso).

  •         **Widerrufen aller SSO-Autorisierungen**: Entfernen von SSO-Autorisierungen für Benutzeranmeldeinformationen in allen Organisationen im Unternehmen. Anmeldeinformationen werden nicht gelöscht, verlieren jedoch den Zugriff auf SSO-geschützte Organisationsressourcen. Nach dem Widerrufen können die Anmeldeinformationen nicht erneut autorisiert werden– Benutzer müssen neue Anmeldeinformationen erstellen. Verfügbar für Enterprise Managed Users oder Unternehmen, die SSO verwenden. Siehe [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens).

  •         **Löschen Sie alle Benutzertoken und Schlüssel: Löschen** Sie die Benutzeranmeldeinformationen vollständig, und entfernen Sie den gesamten Zugriff. 
        Enterprise Managed Users verfügbar****. Siehe [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens).

Hinweis

Für Unternehmen mit persönlichen Konten (nicht-EMU), die SSO verwenden, ist die Option "Alle Token und Schlüssel löschen" nicht verfügbar. Die Aktion "SSO-Autorisierungen widerrufen" blockiert den Zugriff auf SSO-geschützte Organisationsressourcen, blockiert jedoch nicht den Zugriff auf Endpunkte oder Ressourcen auf Unternehmensebene in Organisationen, die SSO nicht erzwingen. Für Unternehmen ohne SSO ist keine Massenaktion verfügbar.