Утверждения маркера OIDC
Чтобы увидеть все утверждения, поддерживаемые GitHubпровайдером OIDC от ', просмотрите claims_supported записи по ссылкеhttps://token.actions.githubusercontent.com/.well-known/openid-configuration`https://HOSTNAME/_services/token/.well-known/openid-configuration` .
Маркер OIDC включает следующие утверждения.
Стандартная аудитория, издатель и утверждения субъекта
| Утверждение | Тип утверждения | Description |
|---|---|---|
aud | Аудитория | По умолчанию это URL-адрес владельца репозитория, например организации, владеющей репозиторием. Пользовательскую аудиторию можно задать с помощью следующей команды из набора средств: core.getIDToken(audience) |
iss | Издатель | Эмитент токена OIDC: https://token.actions.githubusercontent.com |
sub | Тема | Определяет утверждение субъекта, которое необходимо проверить поставщиком облачных служб. Этот параметр необходим для выделения маркеров доступа предсказуемым образом. |
Дополнительные стандартные параметры заголовка и утверждения хосе
| Параметр заголовка | Тип параметра | Description |
|---|---|---|
alg | Алгоритм | Алгоритм, используемый поставщиком OIDC. |
kid | Идентификатор ключа | Уникальный ключ для маркера OIDC. |
typ | Тип | Описывает тип токена. Это токен JSON Web Token (JWT). |
| Утверждение | Тип утверждения | Description |
|---|---|---|
exp | Истекает по адресу | Определяет время истечения срока действия JWT. |
iat | Время выдачи | Это время выдачи JWT. |
jti | Идентификатор токена JWT | Уникальный идентификатор маркера OIDC. |
nbf | Не ранее | JWT недопустим для использования до этого времени. |
Таможенные претензии, предоставленные GitHub
| Утверждение | Description |
|---|---|
actor | Личная учетная запись, которая инициировала запуск рабочего процесса. |
actor_id | Идентификатор личной учетной записи, которая инициировала запуск рабочего процесса. |
base_ref | Целевая ветвь запроса на вытягивание в рамках запуска рабочего процесса. |
check_run_id | Идентификатор выполнения текущего задания. |
enterprise | Имя предприятия, содержащего репозиторий, из которого выполняется рабочий процесс. |
enterprise_id | Идентификатор предприятия, содержащего репозиторий, из которого выполняется рабочий процесс. |
environment | Имя среды, используемой заданием. |
`environment` Если утверждение включается (также через`include_claim_keys`), требуется среда и должна быть предоставлена. |
| event_name| Имя события, вызвавшего запуск рабочего процесса. |
| head_ref| Исходная ветвь запроса на вытягивание в рамках запуска рабочего процесса. |
| job_workflow_ref| Для заданий, использующих повторно используемый рабочий процесс, ref-путь к многократно используемому рабочему процессу. Дополнительные сведения см. в разделе Использование OpenID Connect с многократно используемыми рабочими процессами. |
| job_workflow_sha| Для заданий, использующих повторно используемый рабочий процесс, зафиксируйте SHA для повторно используемого файла рабочего процесса. |
| ref|
(Ссылка) Ссылка GIT, активировавшая запуск рабочего процесса. |
| ref_type| Тип ref, например branch (ветвь). |
| repository_visibility | Видимость репозитория, из которого запускается рабочий процесс. Принимает следующие значения: internal, private или public. |
| repository| Репозиторий, из которого запускается рабочий процесс. |
| repository_id| Идентификатор репозитория, из которого запускается рабочий процесс. |
| repository_owner| Имя организации, в которой хранится repository. |
| repository_owner_id| Идентификатор организации, в которой хранится repository. |
| |
| repo_property_*| Пользовательские свойства, определённые на уровне организации или предприятия, которые включены в качестве заявок в токене OIDC с префиксом repo_property_. Для получения дополнительной информации см. раздел Включение пользовательских свойств репозитория в токены OIDC. |
| |
| run_id| Идентификатор запуска рабочего процесса, активировавшего рабочий процесс. |
| run_number| Количество запусков этого рабочего процесса. |
| run_attempt| Количество повторных попыток этого запуска рабочего процесса. |
| runner_environment| Тип средства выполнения, используемого заданием. Принимает следующие значения: github-hosted или self-hosted. |
| workflow| Имя рабочего процесса. |
| workflow_ref| Путь ссылки к рабочему процессу. Например, octocat/hello-world/.github/workflows/my-workflow.yml@refs/heads/my_branch. |
| workflow_sha| Фиксация SHA для файла рабочего процесса. |
Заменённые значения на GHE.com
- Ожидаемая претензия вашего провайдера должна заменяться
githubusercontent.comнаSUBDOMAIN.ghe.com, где SUBDOMAIN — это поддомен вашего предприятия на GHE.com. - Для любых URL-адресов, содержащих маршрут с именем или слагом вашего предприятия, необходимо подставить поддомен вашего предприятия на GHE.com.
Например, если поддомен является octocorp, применяются следующие замены:
- URL для просмотра всех претензий, поддерживаемых GitHubпровайдером OIDC, будет
https://token.actions.octocorp.ghe.com/.well-known/openid-configuration. - Значение
issв токене OIDC будетhttps://token.actions.octocorp.ghe.com. - Предприятие может получать маркеры по
https://token.actions.octocorp.ghe.com/octocorpадресу, а конечная точка REST API для настройкиissuerзначения будет/enterprises/octocorp/actions/oidc/customization/issuer.
Утверждения OIDC, используемые для определения условий доверия в облачных ролях
Требования аудитории и субъекта обычно используются вместе с установкой условий для облачной роли/ресурсов для ограничения доступа к GitHub рабочим процессам.
*
Аудитория: по умолчанию используется URL-адрес организации или владельца репозитория. С помощью этого утверждения можно задать условие, согласно которому доступ к облачной роли могут иметь только рабочие процессы определенной организации.
*
Тема: По умолчанию имеет заранее определённый формат и представляет собой конкатенацию некоторых ключевых метаданных рабочего процесса, таких как GitHub организация, репозиторий, филиал или связанная job среда. См . пример утверждений субъекта, чтобы узнать, как утверждение субъекта собирается из объединенных метаданных.
Если вам нужны более детализированные условия траста, вы можете настроить претензииэмитента (iss) и субъекта (sub), которые входят в JWT. Дополнительные сведения см. в разделе "Настройка утверждений маркера".
В маркере OIDC также поддерживается множество дополнительных утверждений, которые можно использовать для задания условий. Кроме того, поставщик облачных служб может предусматривать возможность назначения роли маркерам доступа, что позволяет настраивать еще более детализированные разрешения.
Примечание.
Чтобы управлять тем, как поставщик облачных служб выдает маркеры доступа, необходимо определить по крайней мере одно условие, запретив недоверенным репозиториям запрашивать маркеры доступа к облачным ресурсам.
Примеры утверждений о субъекте
В приведенных ниже примерах показано, как использовать субъект в качестве условия и как он составляется путем сцепления метаданных.
Субъект использует сведения из контекста job и сообщает поставщику облачных служб, что выполняться могут запросы маркеров доступа только из рабочих процессов, выполняющихся в определенных ветвях и средах. В следующих разделах описаны некоторые распространенные субъекты.
Фильтрация определенной среды
Если задание ссылается на среду, утверждение о субъекте включает ее имя.
Вы можете настроить субъект, который отфильтровывает определенное имя среды. В этом примере источником запуска рабочего процесса должно быть задание со средой Production в репозитории octo-repo, принадлежащем организации octo-org:
- Синтаксис:
repo:ORG-NAME/REPO-NAME:environment:ENVIRONMENT-NAME - Пример:
repo:octo-org/octo-repo:environment:Production
Фильтрация событий pull_request
Когда рабочий процесс активируется событием запроса на вытягивание, утверждение о субъекте включает строку pull_request, но только если задание не ссылается на среду.
Вы можете настроить субъект, который отфильтровывает событие pull_request. В этом примере запуск рабочего процесса должен был быть активирован событием pull_request в репозитории octo-repo, принадлежащем организации octo-org:
- Синтаксис:
repo:ORG-NAME/REPO-NAME:pull_request - Пример:
repo:octo-org/octo-repo:pull_request
Фильтрация определенной ветви
Утверждение о субъекте содержит имя ветви рабочего процесса, но только если задание не ссылается на среду и если рабочий процесс не активируется событием запроса на вытягивание.
Вы можете настроить субъект, который отфильтровывает определенное имя ветви. В этом примере источником запуска рабочего процесса должна быть ветвь demo-branch в репозитории octo-repo, принадлежащем организации octo-org:
- Синтаксис:
repo:ORG-NAME/REPO-NAME:ref:refs/heads/BRANCH-NAME - Пример:
repo:octo-org/octo-repo:ref:refs/heads/demo-branch
Фильтрация определенного тега
Утверждение о субъекте содержит имя тега рабочего процесса, но только если задание не ссылается на среду и если рабочий процесс не активируется событием запроса на вытягивание.
Вы можете создать субъект, который отфильтровывает определенный тег. В этом примере запуск рабочего процесса должен был быть произведен с тегом demo-tag в репозитории octo-repo, принадлежащем организации octo-org:
- Синтаксис:
repo:ORG-NAME/REPO-NAME:ref:refs/tags/TAG-NAME - Пример:
repo:octo-org/octo-repo:ref:refs/tags/demo-tag
Фильтрация метаданных, содержащих :
Любые : значения в метаданных будут заменены на в утверждении %3A темы.
Вы можете настроить тему, которая включает метаданные, содержащие двоеточия. В этом примере источником запуска рабочего процесса должно быть задание со средой Production:V1 в репозитории octo-repo, принадлежащем организации octo-org:
- Синтаксис:
repo:ORG-NAME/REPO-NAME:environment:ENVIRONMENT-NAME - Пример:
repo:octo-org/octo-repo:environment:Production%3AV1
Настройка субъекта в системе поставщика облачных служб
Чтобы настроить субъект в отношении доверия поставщика облачных служб, необходимо добавить строку субъекта в конфигурацию доверия. В следующих примерах показано, как различные поставщики облачных служб могут принимать один и тот же субъект repo:octo-org/octo-repo:ref:refs/heads/demo-branch различными способами:
| Обязательства поставщика | Пример |
|---|---|
| Amazon Web Services | "token.actions.githubusercontent.com:sub": "repo:octo-org/octo-repo:ref:refs/heads/demo-branch" |
| Azure | repo:octo-org/octo-repo:ref:refs/heads/demo-branch |
| Google Cloud Platform | (assertion.sub=='repo:octo-org/octo-repo:ref:refs/heads/demo-branch') |
| Хранилище HashiCorp | bound_subject="repo:octo-org/octo-repo:ref:refs/heads/demo-branch" |
Дополнительные сведения о настройке конкретных поставщиков облачных служб см. в руководствах, перечисленных в Усиление безопасности развертываний.
Настройка утверждений маркера
Вы можете усилить защиту конфигурации OIDC, настроив утверждения, включенные в JWT. Эти настройки позволяют определять более детализированные условия доверия для облачных ролей при предоставлении рабочим процессам доступа к ресурсам, размещенным в облаке:
-
Вы можете настраивать значения или
issuer``audienceпретензии. См. раздел «Настройкаissuerстоимости для предприятия» и «Настройка стоимостиaudience». -
Вы можете настроить формат конфигурации OIDC, задав условия для утверждения субъекта (
sub), требующего маркеров JWT, исходящих из определенного репозитория, повторно используемого рабочего процесса или другого источника. -
Вы можете определить детализированные политики OIDC с помощью дополнительных утверждений маркера OIDC, таких как
repository_idиrepository_visibility. См . раздел AUTOTITLE. -
Вы можете включать пользовательские свойства репозитория в качестве заявок в OIDC-токены, что позволяет использовать политики контроля доступа на основе атрибутов. См. раздел Включение пользовательских свойств репозитория в токены OIDC.
`audience` Настройка значения
Когда вы используете пользовательские действия в своих рабочих процессах, эти действия могут использовать GitHub Actions Toolkit, чтобы вы могли предоставить пользовательское значение для audience претензии. Некоторые поставщики облачных служб также используют это в своих официальных действиях входа для принудительного применения значения по умолчанию для audience утверждения. Например, действие GitHub for Azure Login по умолчанию предоставляет значение aud``api://AzureADTokenExchange или позволяет установить пользовательское значение aud в ваших рабочих процессах. Для получения дополнительной информации GitHub Actions о Toolkit см. раздел OIDC token в документации.
Если вы не хотите использовать значение по умолчанию aud , предлагаемое действием, можно указать настраиваемое значение для audience утверждения. Это позволяет задать условие, которое может получить доступ только к облачным рабочим процессам в определенном репозитории или организации. Если действие, которое вы используете, поддерживает это, можно использовать with ключевое слово в рабочем процессе для передачи пользовательского aud значения в действие. Дополнительные сведения см. в разделе Справочник по синтаксису метаданных.
`issuer` Настройка значения для предприятия
По умолчанию JWT выдаётся GitHubпровайдером OIDC по координатам https://token.actions.githubusercontent.com. Этот путь представлен поставщику облачных служб с использованием значения iss в JWT.
Чтобы обеспечить безопасность конфигурации OIDC, администраторы предприятия могут настроить свое предприятие на получение маркеров из уникального URL-адреса https://token.actions.githubusercontent.com/<enterpriseSlug>, заменив <enterpriseSlug> значение slug предприятия.
Эта конфигурация означает, что ваше предприятие получит маркер OIDC из уникального URL-адреса, а затем можно будет настроить поставщика облачных служб так, чтобы он принимал маркеры только из этого URL-адреса. Это гарантирует, что только репозитории предприятия смогут получать доступ к облачным ресурсам с помощью OIDC.
Чтобы активировать этот параметр для вашего предприятия, администратор предприятия должен использовать /enterprises/{enterprise}/actions/oidc/customization/issuer конечную точку и указать "include_enterprise_slug": true в тексте запроса. Дополнительные сведения см. в разделе REST API endpoints для GitHub Actions OIDC.
После применения этого параметра JWT будет содержать обновленное значение iss. В следующем примере ключ iss использует octocat-inc в качестве значения enterpriseSlug:
{
"jti": "6f4762ed-0758-4ccb-808d-ee3af5d723a8",
"sub": "repo:octocat-inc/private-server:ref:refs/heads/main",
"aud": "http://octocat-inc.example/octocat-inc",
"enterprise": "octocat-inc",
"enterprise_id": "123",
"iss": "https://token.actions.githubusercontent.com/octocat-inc",
"bf": 1755350653,
"exp": 1755351553,
"iat": 1755351253
}
Включение пользовательских свойств репозитория в OIDC-токены
Примечание.
Эта функция сейчас находится в публичном предварительном просмотре и может измениться.
Администраторы организаций и предприятий могут выбирать пользовательские свойства репозитория для включения заявок в токены Actions OIDC. После добавления пользовательского свойства в конфигурацию OIDC каждый репозиторий в организации или предприятии с установленным значением этого свойства автоматически включает его в свои OIDC-токены. Имя свойства появляется в токене с префиксом repo_property_.
Это позволяет создавать политики контроля доступа на основе атрибутов (ABAC) в вашем облачном провайдере, которые напрямую связываются с метаданными вашего репозитория, снижая дрейф конфигурации и устраняя необходимость в отдельной конфигурации доступа для каждого репозитория.
Требования для включения индивидуальных объектов
- Пользовательские свойства должны быть уже определены на уровне организации или предприятия.
- Вы должны быть администратором организации или корпоративного администратора.
- После добавления пользовательского свойства в конфигурацию OIDC все репозитории в организации или предприятии, имеющие установленное значение для этого свойства, автоматически включают его в свои OIDC-токены.
Добавление пользовательского свойства к заявкам на токены OIDC
Вы можете управлять, какие пользовательские свойства включены в OIDC-токены, используя интерфейс настроек или REST API.
-
**Используя интерфейс настроек:**Перейдите в настройки OIDC Actions вашей организации или предприятия, чтобы увидеть и настроить, какие пользовательские свойства включены в токены OIDC.
-
**С помощью REST API:**Чтобы добавить пользовательское свойство в OIDC-претензии вашей организации или предприятия, используйте REST API. Дополнительные сведения см. в разделе REST API endpoints для GitHub Actions OIDC.
Пример токена с пользовательским свойством
После добавления пользовательского свойства в конфигурацию OIDC репозитории с установленным значением этого свойства включают его в свои токены. В следующем примере workspace_id пользовательское свойство отображается как repo_property_workspace_id в токене:
{
"sub": "repo:my-org/my-repo:ref:refs/heads/main",
"aud": "https://github.com/my-org",
"repository": "my-org/my-repo",
"repo_property_workspace_id": "ws-abc123"
}
Вы можете использовать эти repo_property_* претензии как условия в политике доверия вашего облачного провайдера. Для примера см. Пример: Фильтрация на пользовательском свойстве репозитория.
Настройка утверждений субъекта для организации или репозитория
Чтобы повысить безопасность, соответствие и стандартизацию, можно настроить стандартные утверждения в соответствии с вашими необходимыми условиями доступа. Если поставщик облачных служб поддерживает условия для утверждений субъекта, можно создать условие, которое проверяет, соответствует ли значение sub пути к повторно используемому рабочему процессу, например "job_workflow_ref:octo-org/octo-automation/.github/workflows/oidc.yml@refs/heads/main". Точный формат зависит от конфигурации OIDC поставщика облачных служб. Чтобы настроить условие совпадения на GitHub, можно использовать REST API, чтобы требовать, чтобы sub в утверждении всегда было определённое пользовательское утверждение, например job_workflow_ref. С помощью REST API можно применить шаблон настройки для утверждения субъекта OIDC; Например, можно требовать, чтобы sub утверждение в маркере OIDC всегда включало конкретное пользовательское утверждение, например job_workflow_ref. Дополнительные сведения см. в разделе REST API endpoints для GitHub Actions OIDC.
Примечание.
Если шаблон организации применяется, он не повлияет на рабочие процессы, уже использующие OIDC, если их репозиторий не принял участие в пользовательских шаблонах организации. Для всех репозиториев, существующих и новых, владельцу репозитория потребуется использовать REST API уровня репозитория, чтобы получить эту конфигурацию, установив для use_defaultэтого параметра false значение . Кроме того, владелец репозитория может использовать REST API для применения другой конфигурации к репозиторию. Дополнительные сведения см. в разделе REST API endpoints для GitHub Actions OIDC.
Настройка утверждений приводит к новому формату для всего sub утверждения, который заменяет стандартный предопределенный sub формат в токене, описанном в примере утверждений субъекта.
Примечание.
Утверждение sub использует сокращенную форму repo (например, repo:ORG-NAME/REPO-NAME) вместо repository ссылки на репозиторий.
Любое : значение в контексте будет заменено на %3A.
В следующем примере шаблонов демонстрируются различные способы настройки утверждения субъекта. Для настройки этих настроек администраторы GitHubиспользуют REST API для указания списка претензий, которые должны быть включены в субъект (sub) претензии.
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
Чтобы настроить утверждения субъекта, сначала необходимо создать соответствующее условие в конфигурации OIDC поставщика облачных служб, прежде чем настраивать конфигурацию с помощью REST API. После завершения настройки при каждом запуске нового задания токен OIDC, создаваемый во время этого задания, будет следовать новому шаблону настройки. Если соответствующее условие не существует в конфигурации OIDC поставщика облачных служб перед выполнением задания, созданный маркер может не приниматься поставщиком облачных служб, так как условия могут быть не синхронизированы.
Пример: разрешение репозитория на основе видимости и владельца
Этот пример шаблона позволяет использовать для утверждения sub новый формат с repository_owner и repository_visibility:
{
"include_claim_keys": [
"repository_owner",
"repository_visibility"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждения обязательно включали значения для repository_owner и repository_visibility. Например: "sub": "repository_owner:monalisa:repository_visibility:private". Этот подход позволяет предоставлять облачным ролям доступ только частным репозиториям в организации или на предприятии.
Пример: разрешение доступа ко всем репозиториям с определенным владельцем
Этот пример шаблона позволяет использовать утверждение sub в новом формате только со значением repository_owner.
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
{
"include_claim_keys": [
"repository_owner"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждения обязательно включали значения для repository_owner. Например: "sub": "repository_owner:monalisa"
Пример: требовать повторно используемые рабочие процессы
Этот пример шаблона позволяет использовать утверждение sub в новом формате, содержащем значение утверждения job_workflow_ref. Это позволяет предприятиям использовать многоразовые рабочие процессы, чтобы обеспечивать согласованные развертывания в организациях и репозиториях.
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
{
"include_claim_keys": [
"job_workflow_ref"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждения обязательно включали значения для job_workflow_ref. Например: "sub": "job_workflow_ref:octo-org/octo-automation/.github/workflows/oidc.yml@refs/heads/main".
Пример: требование многоразового рабочего процесса и других утверждений
В следующем примере шаблона сочетаются требования к конкретному многоразовому рабочему процессу и дополнительные утверждения.
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
В этом примере также показано, как использовать "context" для определения условий. Это часть, которая следует репозиторию в формате по умолчанию sub . Например, если задание ссылается на среду, контекст содержит environment:ENVIRONMENT-NAME.
{
"include_claim_keys": [
"repo",
"context",
"job_workflow_ref"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждения обязательно включали значения для repo, context и job_workflow_ref.
Этот шаблон настройки требует использовать для sub следующий формат: repo:ORG-NAME/REPO-NAME:environment:ENVIRONMENT-NAME:job_workflow_ref:REUSABLE-WORKFLOW-PATH
Например: "sub": "repo:octo-org/octo-repo:environment:prod:job_workflow_ref:octo-org/octo-automation/.github/workflows/oidc.yml@refs/heads/main"
Пример: предоставление доступа к определенному репозиторию
Этот пример шаблона позволяет предоставлять облачный доступ ко всем рабочим процессам в определенном репозитории, во всех ветвях/тегах и средах.
Для дальнейшего повышения безопасности вы можете объединить этот шаблон с уникальным URL эмитента для вашего предприятия, как описано в разделе «Настройка issuer ценности для предприятия».
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
{
"include_claim_keys": [
"repo"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждение repo обязательно соответствовало требуемому значению.
Пример: использование идентификаторов GUID, созданных системой
Этот пример шаблона поддерживает предсказуемые утверждения OIDC с идентификаторами GUID, созданными системой, которые не изменяются при переименовании сущностей (например, при переименовании репозитория).
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
{
"include_claim_keys": [
"repository_id"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждение repository_id обязательно соответствовало требуемому значению.
или:
{
"include_claim_keys": [
"repository_owner_id"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждение repository_owner_id обязательно соответствовало требуемому значению.
Пример: значение контекста с :
В этом примере показано, как обрабатывать значение контекста с :помощью . Например, если задание ссылается на среду с именем production:eastus.
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
{
"include_claim_keys": [
"environment",
"repository_owner"
]
}
В конфигурации OIDC поставщика облачных служб настройте sub условие, чтобы требовать, чтобы утверждения включали определенное значение для environment и repository_owner. Например: "sub": "environment:production%3Aeastus:repository_owner:octo-org".
Пример: фильтрация пользовательского свойства репозитория
Этот шаблон позволяет заявке sub включать пользовательское свойство репозитория. Пользовательские свойства, включённые в токены OIDC, отображаются с префиксом repo_property_ в токене, но include_claim_keys значение использует полное имя претензии, как оно отображается в токене.
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
{
"include_claim_keys": [
"repo_property_workspace_id"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждения обязательно включали значения для repo_property_workspace_id. Например: "sub": "repo_property_workspace_id:ws-abc123".
Сброс настроек шаблона организации
В этом примере шаблон сбрасывает утверждения субъекта до формата по умолчанию. Этот шаблон фактически откажетесь от любой политики настройки на уровне организации.
Чтобы применить эту конфигурацию, отправьте запрос в конечную точку API и включите необходимую конфигурацию в текст запроса. Сведения о организациях см. в разделе [AUTOTITLE и репозитории см. в разделе REST API endpoints для GitHub Actions OIDC](/rest/actions/oidc#set-the-customization-template-for-an-oidc-subject-claim-for-a-repository).
{
"include_claim_keys": [
"repo",
"context"
]
}
В конфигурации OIDC поставщика облачных служб настройте условие sub, чтобы утверждения обязательно включали значения для repo и context.
Сброс настроек шаблона репозитория
Все репозитории в организации имеют возможность отказаться от использования sub шаблонов утверждений (на уровне организации и репозитория).
Чтобы отказаться от репозитория и вернуться в формат утверждений по умолчанию sub , администратор репозитория должен использовать конечную точку REST API в REST API endpoints для GitHub Actions OIDC.
Чтобы настроить репозитории для использования формата утверждений по умолчанию sub , используйте PUT /repos/{owner}/{repo}/actions/oidc/customization/sub конечную точку REST API в следующем тексте запроса.
{
"use_default": true
}
Пример. Настройка репозитория для использования шаблона организации
После создания настраиваемого sub шаблона утверждения REST API можно использовать для программного применения шаблона к репозиториям в организации. Администратор репозитория может настроить свой репозиторий для использования шаблона, созданного администратором организации.
Чтобы настроить репозиторий для использования шаблона организации, администратор репозитория должен использовать PUT /repos/{owner}/{repo}/actions/oidc/customization/sub конечную точку REST API в следующем тексте запроса. Дополнительные сведения см. в разделе REST API endpoints для GitHub Actions OIDC.
{
"use_default": false
}
Отладка утверждений OIDC
Вы можете использовать github/actions-oidc-debugger действие для визуализации утверждений, которые будут отправлены, прежде чем интегрироваться с поставщиком облачных служб. Это действие запрашивает JWT и печатает претензии, включённые в JWT, полученные от GitHub Actions.
Разрешения рабочего процесса для запроса маркера OIDC
Требуемое разрешение
-
Задание или рабочий процесс должны предоставить
id-token: writeразрешение на то GitHub, чтобы OIDC-провайдер мог создать JSON Web Token (JWT):permissions: id-token: write -
Без
id-token: writeэтого не удается запросить маркер идентификатора JWT OIDC. Этот параметр включает только получение и настройку маркера OIDC; он не предоставляет доступ на запись к другим ресурсам.
Настройка разрешений
-
Чтобы получить маркер OIDC для рабочего процесса, задайте разрешение на уровне рабочего процесса:
permissions: id-token: write # This is required for requesting the JWT contents: read # This is required for actions/checkout -
Чтобы получить токен OIDC для одного задания, задайте разрешение в рамках этого задания:
permissions: id-token: write # This is required for requesting the JWT -
Дополнительные разрешения могут потребоваться в зависимости от потребностей рабочего процесса.
Рабочие процессы с возможностью повторного использования
- Для повторно используемых рабочих процессов, принадлежащих тому же пользователю, организации или организации, что и вызывающий объект, маркер OIDC, созданный в повторно используемый рабочий процесс, доступен из контекста вызывающего объекта.
- Для повторно используемых рабочих процессов за пределами предприятия или организации задайте
permissionsдляid-token``writeявного использования рабочий процесс вызывающего или задания. Это гарантирует, что маркер OIDC доступен только для предполагаемых рабочих процессов вызывающего объекта.
Методы запроса маркера OIDC
Пользовательские действия могут запрашивать маркер OIDC с помощью:
-
Метод
getIDToken()из набора средств Actions. Дополнительные сведения см . в документации по пакету npm в токене OIDC. -
Следующие переменные среды в средстве выполнения.
«Переменная» Description ACTIONS_ID_TOKEN_REQUEST_URLURL провайдера GitHubOIDC. ACTIONS_ID_TOKEN_REQUEST_TOKENТокен носителя для запроса к поставщику OIDC. Например:
Shell curl -H "Authorization: bearer $ACTIONS_ID_TOKEN_REQUEST_TOKEN" "$ACTIONS_ID_TOKEN_REQUEST_URL&audience=api://AzureADTokenExchange"
curl -H "Authorization: bearer $ACTIONS_ID_TOKEN_REQUEST_TOKEN" "$ACTIONS_ID_TOKEN_REQUEST_URL&audience=api://AzureADTokenExchange"