Cet article fournit une référence consolidée pour tous les types de données d’identification programmatiques qui peuvent accéder à GitHub. Utilisez cette référence pour auditer l’activité et gérer la révocation des informations d’identification, en particulier pendant les incidents de sécurité.
Vue d’ensemble des types d’informations d'identification
Le tableau suivant répertorie tous les types d’informations d’identification qui peuvent accéder de manière programmatique à GitHub.
| Type d'identifiants | Préfixe d’informations d’identification | Durée de vie | Révocation | Associé à |
|---|---|---|---|---|
| Personal access token (classic) | ghp_ | Durée de vie longue | Manuel | Compte d’utilisateur |
| Fine-grained personal access token | github_pat_ | Configurable (jusqu’à 1 an ou pas d’expiration) | Manuel | Compte d’utilisateur |
[
OAuth app jeton d’accès](#oauth-app-access-tokens) | `gho_` | Longue durée | Manuel | Compte d’utilisateur |
|
GitHub App jeton d’accès utilisateur | ghu_ | Courte durée (8 heures) | Expiration automatique ou manuel | Compte d’utilisateur |
|
GitHub App jeton d’accès d’installation | ghs_ | Courte durée (1 heure) | Expiration automatique | Installation de l’application |
|
GitHub App jeton d’actualisation | ghr_ | Longue durée (6 mois) | Manuel | Compte d’utilisateur |
|
Clé SSH utilisateur | Sans objet | Durée de vie longue | Manuel | Compte d’utilisateur |
|
Déployer la clé | Sans objet | Durée de vie longue | Manuel | Référentiel |
|
GITHUB_TOKEN
(GitHub Actions) | Sans objet | Brève durée (durée du poste) | Expiration automatique | Exécution du flux de travail |
Révocation des informations d’identification
Les sections suivantes décrivent les options de révocation pour chaque type d’informations d’identification en fonction de votre rôle. Consultez également Expiration et révocation des jetons.
Remarque
Les propriétaires d’entreprise ont des options pour les actions en bloc dans les incidents majeurs. Consultez les actions en bloc pour les incidents de sécurité.
Personal access token (classic)
-
Si le jeton vous appartient, vous pouvez le supprimer via les paramètres de votre compte personnel. Consultez « Gestion de vos jetons d’accès personnels ».
-
**Les propriétaires d’organisations** et **les propriétaires d’entreprise** n’ont pas de visibilité directe sur les jetons individuels et ne peuvent pas les contrôler. Toutefois, ils peuvent :- Restreignez complètement l'accès de personal access tokens à l'organisation ou à l'entreprise. Consultez Définition d’une stratégie de jeton d’accès personnel pour votre organisation et Application de stratégies pour les jetons d’accès personnels dans votre entreprise.
-
**Les propriétaires d’organisations et les propriétaires d’entreprise** sur GitHub Enterprise Cloud où l'authentification unique est appliquée peuvent révoquer l’autorisation de l’authentification unique pour un personal access token (classic) spécifique. Pour plus d'informations, consultez [Révocation de l'autorisation SSO](#revoking-sso-authorization). -
**Révoqué automatiquement** s’il est envoyé (push) vers un dépôt public ou un gist, ou s’il n’est pas utilisé pendant un an. Consultez « [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation) ».
Fine-grained personal access token
-
Si le jeton vous appartient, vous pouvez le supprimer via les paramètres de votre compte personnel. Consultez « Gestion de vos jetons d’accès personnels ».
-
**Propriétaires d’organisations** : peuvent voir et révoquer des jetons individuels. Notez toutefois que lorsqu’un propriétaire de l’organisation révoque un fine-grained personal access token, toutes les clés SSH créées par le jeton continueront de fonctionner et le jeton sera toujours en mesure de lire les ressources publiques au sein de l’organisation. La révocation fait passer le propriétaire de la ressource de l’organisation à l’utilisateur, et l’utilisateur peut la réaffecter. Consultez « [AUTOTITLE](/organizations/managing-programmatic-access-to-your-organization/reviewing-and-revoking-personal-access-tokens-in-your-organization) ». -
**Les propriétaires****d’organisations et les propriétaires d’entreprise** peuvent :- Restreignez complètement l'accès de personal access tokens à l'organisation ou à l'entreprise. Consultez Définition d’une stratégie de jeton d’accès personnel pour votre organisation et Application de stratégies pour les jetons d’accès personnels dans votre entreprise.
-
**Révoqué automatiquement** s’il est envoyé (push) vers un dépôt public ou un gist, ou s’il n’est pas utilisé pendant un an. Consultez « [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation) ».
OAuth app jetons d’accès
* Les utilisateurs peuvent révoquer leur autorisation dans OAuth app leurs paramètres de compte personnel, ce qui révoque tous les jetons associés à l’application. Consultez « Examen de vos applications autorisées OAuth ».
-
**Les propriétaires de l'organisation** peuvent refuser l’accès à l'organisation d'une entité précédemment approuvée OAuth app. Consultez « [AUTOTITLE](/enterprise-cloud@latest/organizations/managing-oauth-access-to-your-organizations-data/denying-access-to-a-previously-approved-oauth-app-for-your-organization) ». - Les propriétaires d’entreprise et d’organisation ne peuvent pas révoquer directement l’autorisation SSO pour des jetons individuels OAuth app.
-
**Révoqué automatiquement** s’il est envoyé (push) vers un dépôt public ou un gist, ou s’il n’est pas utilisé pendant un an. Consultez « [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation) ».
GitHub App jetons d’accès utilisateur
* Les utilisateurs peuvent révoquer leur autorisation dans GitHub App leurs paramètres de compte personnel. Notez que cela révoque l’autorisation pour toutes les organisations, pas seulement une seule. Consultez « Examen et révocation de l’autorisation des applications GitHub ».
-
**Les propriétaires d’organisations** ne peuvent pas révoquer directement les autorisations utilisateur, mais peuvent suspendre ou désinstaller l’application pour empêcher l’accès aux ressources de l’organisation. Consultez « [AUTOTITLE](/apps/using-github-apps/reviewing-and-modifying-installed-github-apps) ». - Les propriétaires d’entreprise et d’organisation ne peuvent pas révoquer directement l’autorisation d’authentification unique pour des jetons d’accès utilisateur individuels GitHub App .
-
**Expire automatiquement** après 8 heures par défaut. Consultez « [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation#user-token-expired-due-to-github-app-configuration) ».
GitHub App jetons d’actualisation
* Les utilisateurs peuvent révoquer l’autorisation GitHub App , ce qui invalide également les jetons d’actualisation associés. Consultez « Examen et révocation de l’autorisation des applications GitHub ».
-
**Expire automatiquement** après 6 mois.
GitHub App jetons d’accès d’installation
*
Les propriétaires d’applications peuvent révoquer via DELETE /installation/token. Consultez « Points de terminaison d’API REST pour GitHub App installations ».
*
Propriétaires d’organisations et propriétaires d’entreprise : peut désinstaller l’application de l’organisation, qui désactive tous les jetons d’installation associés. Consultez « Révision et modification des applications GitHub installées ».
*
Expire automatiquement après 1 heure.
Clés SSH utilisateur
-
**Les utilisateurs** peuvent supprimer les informations d’identification via **les paramètres > clés SSH et GPG**. Consultez « [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-ssh-keys) ». -
**Les propriétaires d’organisations et les propriétaires d’entreprise** sur GitHub Enterprise Cloud utilisant l’authentification unique appliquée peuvent révoquer l’autorisation d’authentification unique pour une clé SSH spécifique. Une fois révoquée, la même clé ne peut pas être réinscrite : l’utilisateur doit créer une nouvelle clé SSH. Pour plus d'informations, consultez [Révocation de l'autorisation SSO](#revoking-sso-authorization). -
**Supprimé automatiquement** s’il n’est pas utilisé pendant un an. Consultez « [AUTOTITLE](/enterprise-cloud@latest/authentication/troubleshooting-ssh/deleted-or-missing-ssh-keys) ».
Pour plus d’informations sur les clés SSH, consultez Ajout d’une nouvelle clé SSH à votre compte GitHub.
Clés de déploiement
-
**Les administrateurs de référentiel** peuvent supprimer des clés via **les paramètres du référentiel > Sécurité > Déployer des clés**. Disponible également via l'API REST des clés de déploiement. Voir [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-deploy-keys). -
**Les propriétaires de l’organisation** peuvent désactiver entièrement le déploiement de clés au sein de l’organisation, ce qui désactive toutes les clés de déploiement existantes. Voir [AUTOTITLE](/organizations/managing-organization-settings/restricting-deploy-keys-in-your-organization). -
**Les propriétaires d’entreprise** peuvent appliquer une stratégie pour désactiver le déploiement de clés dans tous les référentiels. Consultez « [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-repository-management-policies-in-your-enterprise) ».
Pour plus de renseignements sur les clefs de déploiement, consultez Gestion des clés de déploiement.
`GITHUB_TOKEN` (GitHub Actions)
*
Expire automatiquement : le GITHUB_TOKEN fichier est créé au début de chaque tâche de workflow et expire une fois la tâche terminée. Il n’existe aucun mécanisme de révocation manuel. Lors d’un incident, vous pouvez désactiver GitHub Actions sur le référentiel pour empêcher l’émission de nouveaux jetons.
Pour plus d’informations sur GITHUB_TOKEN, consultez GITHUB_TOKEN.
Autorisation SSO
Lorsque l’authentification unique (SSO) est requise au niveau de l’entreprise, appliquée au niveau de l’organisation ou activée pour une organisation et qu’un membre a lié une identité, certains types d’informations d’identification doivent être autorisés pour une organisation avant de pouvoir accéder aux ressources de l’organisation. Le tableau suivant indique quels types d’informations d’identification peuvent être autorisés pour une organisation.
| Type de jeton | Prend en charge l’autorisation d’authentification unique | Les administrateurs peuvent révoquer l’autorisation d’authentification unique |
|---|---|---|
| Personal access token (classic) | ||
| Fine-grained personal access token |
OAuth app jeton d’accès |
<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Yes" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>
[^1] | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-x" aria-label="No" role="img"><path d="M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z"></path></svg> |
|
GitHub App jeton d’accès utilisateur |
[^1] | |
|
GitHub App jeton d’accès d’installation |
(non obligatoire) | Sans objet |
|
GitHub App jeton d’actualisation | | Sans objet |
| Clé SSH utilisateur | | |
| Clé de déploiement |
(à l'échelle du référentiel) | Sans objet |
|
GITHUB_TOKEN (GitHub Actions) |
(à l'échelle du référentiel) | Sans objet |
[^1]: SSO authorization is granted automatically when the user authorizes the app during an active SAML or OIDC session. These authorizations are not visible to users or admins in the GitHub UI, and are not returned by the [List SAML SSO authorizations for an organization](/rest/orgs/orgs#list-saml-sso-authorizations-for-an-organization) REST API endpoint.
Pour plus d’informations sur l’autorisation d’informations d’identification pour l’authentification unique, consultez Autorisation d’un jeton d’accès personnel à utiliser avec l’authentification unique, Gestion de vos jetons d’accès personnels, et Autorisation d’une clé SSH pour l’utiliser avec l’authentification unique.
Révocation de l’autorisation d’authentification unique
Avec GitHub Enterprise Cloud l'authentification unique appliquée, lorsqu’un identifiant prend en charge l’autorisation SSO, il existe deux possibilités de confinement indépendantes :
-
**Supprimez ou révoquez les informations d’identification proprement dites** : supprime définitivement tout accès associé aux informations d’identification. Consultez les sections de types d'identifiants ci-dessus pour savoir qui peut effectuer cette action. -
**Révoquez l’autorisation SSO des informations d’identification** : empêche la carte d'identité d’accéder aux ressources d’une organisation spécifique sans la supprimer. Une fois révoqué, l’utilisateur ne peut pas réinscrire les mêmes informations d’identification ; ils doivent en créer un nouveau.
Les administrateurs d’entreprise et les propriétaires d’organisations peuvent révoquer l’autorisation d’authentification unique pour les types d’informations d’identification marqués dans le tableau ci-dessus :
- Les propriétaires d’organisations peuvent gérer les autorisations SSO pour les organisations avec l’authentification SSO au niveau de l’organisation via le GitHub UI. Consultez « Affichage et gestion de l’accès SAML d’un membre à votre organisation ».
-
**Les propriétaires d’entreprise** peuvent gérer les autorisations d’authentification unique pour les entreprises avec l’authentification unique au niveau de l’entreprise (y compris Enterprise Managed Users) via l’interface GitHub utilisateur. Consultez « [AUTOTITLE](/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise#viewing-and-revoking-authorized-credentials) ».
Vous pouvez également gérer les autorisations d’authentification unique via l’API REST. Consultez « Points de terminaison d’API REST pour les organisations ».
Lors d’un incident de sécurité, les propriétaires d’entreprise peuvent révoquer des autorisations d’authentification unique en bloc. Consultez les actions en bloc pour les incidents de sécurité.
Actions en bloc pour les incidents de sécurité
Lors d’un incident de sécurité majeur, il existe certaines actions en bloc au niveau de l’entreprise sur GitHub Enterprise Cloud laquelle les propriétaires d’entreprise peuvent intervenir rapidement. Ces actions affectent les clés SSH utilisateur, OAuth app les jetons d’accès utilisateur, GitHub App les jetons d’accès utilisateur, personal access tokens (classic)et fine-grained personal access tokens. Ils n’affectent ****GitHub App les jetons d’accès d’installation, les clés de déploiement ou GITHUB_TOKEN.
Avertissement
Il s’agit d’actions à impact élevé qui doivent être réservées aux principaux incidents de sécurité. Ils sont susceptibles d’interrompre les automatisations, et cela peut prendre des mois de travail pour restaurer votre état d’origine.
-
**Verrouiller l’authentification** unique : bloquez temporairement l’authentification unique pour tous les utilisateurs, à l’exception des propriétaires d’entreprise, ce qui empêche l’accès aux ressources protégées par l’authentification unique. Disponible pour Enterprise Managed Users ou pour les entreprises qui utilisent l’authentification unique. Consultez « [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/lock-down-sso) ». -
**Révoquez toutes les autorisations d’authentification** unique : supprimez les autorisations d’authentification unique pour les informations d’identification de l’utilisateur dans toutes les organisations de l’entreprise. Les informations d’identification ne sont pas supprimées, mais perdent l’accès aux ressources de l’organisation protégées par l’authentification unique. Une fois révoquées, les informations d’identification ne peuvent pas être réinscrites : les utilisateurs doivent créer de nouvelles informations d’identification. Disponible pour Enterprise Managed Users ou les entreprises qui utilisent l’authentification unique. Consultez « [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens) ». -
**Supprimez tous les jetons et clés utilisateur** : supprimez entièrement les informations d’identification de l’utilisateur, supprimant tout accès. Enterprise Managed Users Disponible **uniquement**. Consultez « [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens) ».
Remarque
Pour les entreprises disposant de comptes personnels (non-UEM) qui utilisent l’authentification unique, l’option « Supprimer tous les jetons et clés » n’est pas disponible. L’action « révoquer les autorisations d’authentification unique » bloque l’accès aux ressources de l’organisation protégées par l’authentification unique, mais ne empêche pas les informations d’identification d’accéder aux points de terminaison ou ressources au niveau de l’entreprise dans les organisations qui n’appliquent pas l’authentification unique. Pour les entreprises sans authentification unique, aucune action en bloc n’est disponible.