Ссылка на типы учетных данных GitHub

В данной статье предоставляется объединённый справочник для всех типов программных учетных данных, которые могут получить доступ GitHubк . Используйте эту ссылку для аудита деятельности и управления отзывом учетных данных, особенно в случае инцидентов безопасности.

Обзор типов учетных данных

В следующей таблице перечислены все типы учетных данных, которые могут программно получать GitHubдоступ к .

Тип учетных данных	Префикс квалификации	Продолжительность жизни	Отмена	Связанные с
Personal access token (classic)	`ghp_`	Долгоживущий	Руководство	Учетная запись пользователя
Fine-grained personal access token	`github_pat_`	Настраиваемая (до 1 года или без срока действия)	Руководство	Учетная запись пользователя

          [
          OAuth app Токен доступа](#oauth-app-access-tokens) | `gho_` | Долгоживущий | Руководство | Учетная запись пользователя |

Аннулирование квалификации

В следующих разделах описаны варианты отзыва для каждого типа удостоверения в зависимости от вашей роли. См. также Истечение срока действия и отзыв маркера.

Примечание.

Владельцы предприятий имеют возможность массовых действий при крупных инцидентах. См. раздел «Массовые действия» для инцидентов безопасности.

Personal access token (classic)

Если токен принадлежит вам, вы можете удалить его через настройки личного аккаунта. См . раздел AUTOTITLE.
```
        **Владельцы организаций** и **владельцы предприятий** не имеют прямого доступа или контроля над отдельными токенами. Однако они могут:
```
- Полностью ограничить доступ personal access tokens к организации или предприятию. См. Настройка политики личного маркера доступа для вашей организации и Применение политик для персональных маркеров доступа в вашей организации.

        **Владельцы компаний и предприятий** , находящиеся GitHub Enterprise Cloud под контролем SSO, могут отозвать авторизацию SSO для определённого personal access token (classic). Подробности см. раздел [«Отзыв авторизации SSO](#revoking-sso-authorization) ».

        **Автоматически отменяется** при размещении в публичном репозитории или в основной информации, либо если не используется один год. См [. раздел AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation).

Fine-grained personal access token

Если токен принадлежит вам, вы можете удалить его через настройки личного аккаунта. См . раздел AUTOTITLE.

        **Владельцы организаций**: могут просматривать и отзывать отдельные токены. Однако обратите внимание, что когда владелец организации аннулирует fine-grained personal access token, любые SSH-ключи, созданные токеном, продолжают работать, и токен по-прежнему сможет читать публичные ресурсы внутри организации. Отзыв меняет владельца ресурса с организации на пользователя, и пользователь может переназначить его обратно. См [. раздел AUTOTITLE](/organizations/managing-programmatic-access-to-your-organization/reviewing-and-revoking-personal-access-tokens-in-your-organization).

```
        **Владельцы и****владельцы предприятий** могут:
```
- Полностью ограничить доступ personal access tokens к организации или предприятию. См. Настройка политики личного маркера доступа для вашей организации и Применение политик для персональных маркеров доступа в вашей организации.

        **Автоматически отменяется** при размещении в публичном репозитории или в основной информации, либо если не используется один год. См [. раздел AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation).

          OAuth app Токены доступа

* Пользователи могут отозвать авторизацию OAuth app в настройках личного аккаунта, который аннулирует любые токены, связанные с приложением. См . раздел AUTOTITLE.

        **Владельцы организаций** могут отказать ранее одобренному OAuth appчеловеку в доступе к организации. См [. раздел AUTOTITLE](/enterprise-cloud@latest/organizations/managing-oauth-access-to-your-organizations-data/denying-access-to-a-previously-approved-oauth-app-for-your-organization).

Владельцы предприятий и организаций не могут напрямую аннулировать авторизацию SSO для отдельных OAuth app токенов.

        **Автоматически отменяется** при размещении в публичном репозитории или в основной информации, либо если не используется один год. См [. раздел AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation).

          GitHub App Пользовательские токены доступа

* Пользователи могут отозвать авторизацию GitHub App в настройках своего личного аккаунта. Обратите внимание, что это аннулирует авторизацию для всех организаций, а не только для конкретной. См . раздел AUTOTITLE.

        **Владельцы организаций** не могут напрямую отзывать авторизации пользователей, но могут приостановить или удалить приложение, чтобы предотвратить доступ к ресурсам организации. См [. раздел AUTOTITLE](/apps/using-github-apps/reviewing-and-modifying-installed-github-apps).

Владельцы предприятий и организаций не могут напрямую отзывать авторизацию SSO для отдельных GitHub App токенов доступа пользователей.

        **Автоматически истекает** через 8 часов по умолчанию. См [. раздел AUTOTITLE](/authentication/keeping-your-account-and-data-secure/token-expiration-and-revocation#user-token-expired-due-to-github-app-configuration).

          GitHub App Токены обновления

* Пользователи могут отменить GitHub App авторизацию, что также аннулирует связанные с ними токены обновления. См . раздел AUTOTITLE.

        **Автоматически истекает** через 6 месяцев.

          GitHub App Токены доступа для установки

* Владельцы приложения могут отменить через DELETE /installation/token. См . раздел AUTOTITLE. * Владельцы организаций и предприятий: могут удалить приложение из организации, что деактивирует все связанные с ними установочные токены. См . раздел AUTOTITLE. * Автоматически заканчивается через час.

Пользовательские SSH-ключи

        **Пользователи** могут удалить учетные данные через **настройки > ключи SSH и GPG**. См [. раздел AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-ssh-keys).

        **Владельцы организаций и предприятий** , находящиеся GitHub Enterprise Cloud под контролем SSO, могут отозвать авторизацию SSO для определённого SSH-ключа. После отзыва тот же ключ не может быть повторно авторизован — пользователь должен создать новый SSH-ключ. Подробности см. раздел [«Отзыв авторизации SSO](#revoking-sso-authorization) ».

        **Автоматически удаляется** , если не используется один год. См [. раздел AUTOTITLE](/enterprise-cloud@latest/authentication/troubleshooting-ssh/deleted-or-missing-ssh-keys).

Для получения дополнительной информации о SSH-ключах см. Добавление нового SSH-ключа в ваш аккаунт GitHub.

Ключи развертывания

        **Администраторы репозиториев** могут удалять ключи через **настройки репозитория > ключи Security > Deploy**. Также доступно через REST API ключей Deploy. См. [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-deploy-keys).

        **Владельцы организаций** могут полностью отключить ключи для развертывания по всей организации, что отключает все существующие ключи развертывания. См. [AUTOTITLE](/organizations/managing-organization-settings/restricting-deploy-keys-in-your-organization).

        **Владельцы предприятий** могут применять политику для отключения развертывания ключей во всех репозиториях. См [. раздел AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-repository-management-policies-in-your-enterprise).

Для получения дополнительной информации о ключах развертывания см. Управление ключами развертывания.

          `GITHUB_TOKEN` (GitHub Actions)

* Автоматически истекает: Файл GITHUB_TOKEN создаётся в начале каждой задачи рабочего процесса и истекает после завершения работы. Механизма ручного отзыва нет. Во время инцидента вы можете отключить GitHub Actions репозиторий, чтобы предотвратить выпуск новых токенов.

Для получения дополнительной информации см GITHUB_TOKEN. GITHUB_TOKEN.

Авторизация SSO

Когда на корпоративном уровне требуется единый вход (SSO), применяется на уровне организации или включено для организации, и участник связал свою личность, определённые типы учетных данных должны быть авторизованы для организации, прежде чем она сможет получить доступ к ресурсам организации. В следующей таблице указано, какие типы учетных данных могут быть одобрены для организации.

Тип токена	Поддерживает авторизацию SSO	Администраторы могут отозвать авторизацию SSO
Personal access token (classic)
Fine-grained personal access token

          OAuth app Токен доступа | 
          <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Yes" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>
          [^1] | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-x" aria-label="No" role="img"><path d="M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z"></path></svg> |

          [^1]: SSO authorization is granted automatically when the user authorizes the app during an active SAML or OIDC session. These authorizations are not visible to users or admins in the GitHub UI, and are not returned by the [List SAML SSO authorizations for an organization](/rest/orgs/orgs#list-saml-sso-authorizations-for-an-organization) REST API endpoint.

Для получения информации о том, как авторизовать учетные данные для SSO, см. Авторизация личного маркера доступа для использования с единым входом, Управление личными маркерами доступа, и AUTOTITLE.

Отзыв авторизации SSO

Что касается GitHub Enterprise Cloud применения SSO, когда учётная запись поддерживает авторизацию SSO, существуют два независимых варианта сдерживания:

        **Удалить или аннулировать сам учетный код**: навсегда удаляет весь доступ, связанный с учетными данными. См. разделы с типами индивидуальных удостоверений выше, чтобы узнать, кто может выполнить это действие.

        **Отменить авторизацию учетных данных SSO**: блокирует доступ к ресурсам конкретной организации без их удаления. После отзыва пользователь не может повторно авторизировать тот же учетный код; Им нужно создать новое.

Администраторы предприятий и владельцы организаций могут отозвать авторизацию SSO для типов учетных данных, отмеченных в таблице выше:

        **Владельцы организаций** могут управлять авторизациями SSO для организаций с SSO на уровне организации через GitHub интерфейс. См [. раздел AUTOTITLE](/enterprise-cloud@latest/organizations/granting-access-to-your-organization-with-saml-single-sign-on/viewing-and-managing-a-members-saml-access-to-your-organization).

        **Владельцы предприятий** могут управлять авторизациями SSO для предприятий с корпоративным уровнем SSO (включая Enterprise Managed Users) через GitHub интерфейс. См [. раздел AUTOTITLE](/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise#viewing-and-revoking-authorized-credentials).

Вы также можете управлять авторизациями SSO через REST API. См . раздел AUTOTITLE.

Во время инцидента с безопасностью владельцы предприятий могут массово отзывать авторизации SSO. См. раздел «Массовые действия» для инцидентов безопасности.

Массовые действия для инцидентов безопасности

Во время крупного инцидента с безопасностью существуют корпоративные массовые действия, которые владельцы GitHub Enterprise Cloud предприятий могут предпринять для быстрого реагирования. Эти действия затрагивают пользовательские SSH-ключи, OAuth app токены доступа пользователя, GitHub App токены personal access tokens (classic)доступа пользователя и fine-grained personal access tokens. Они не влияют GitHub App на токены доступа установки, ключи развертывания или GITHUB_TOKEN.

Предупреждение

Это действия с высоким уровнем воздействия, которые следует резервировать для крупных инцидентов с безопасностью. Они, скорее всего, сломают автоматизацию, и восстановление исходного состояния может занять месяцы.

        **Блокировка SSO**: временно заблокировать SSO для всех пользователей, кроме владельцев предприятий, не давая доступу к ресурсам, защищённым SSO. Доступно для Enterprise Managed Users предприятий, использующих SSO. См [. раздел AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/lock-down-sso).

        **Отменить все авторизации SSO**: Удалить авторизации SSO для учетных данных пользователей во всех организациях предприятия. Учетные данные не удаляются, а теряют доступ к ресурсам организации, защищённым SSO. После отзыва учетные данные нельзя повторно авторизировать — пользователям необходимо создавать новые учетные данные. Доступно для Enterprise Managed Users предприятий, использующих SSO. См [. раздел AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens).

        **Удалить все пользовательские токены и ключи**: полностью удалить учетные данные пользователя, полностью убрать доступ. 
        **Доступно только** для Enterprise Managed Users покупки. См [. раздел AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens).

Примечание.

Для предприятий с личными аккаунтами (не EMU), использующими SSO, опция «удалить все токены и ключи» недоступна. Действие «отменить авторизации SSO» блокирует доступ к ресурсам организации с защитой SSO, но не блокирует доступ учетных данных к корпоративным конечным точкам или ресурсам в организациях, не применяющих SSO. Для предприятий без SSO ни одна из массовых операций недоступна.

Ссылка на типы учетных данных GitHub

В этой статье