Note
Fine-grained personal access token は現在 パブリック プレビュー 段階にあり、変更される可能性があります。 フィードバックを残すには、フィードバックのディスカッションに関するページを参照してください。
パブリック プレビュー の間、企業は fine-grained personal access tokens にオプトインする必要があります。 Enterprise がまだオプトインしていない場合は、次の手順のようにすると、オプトインとポリシーの設定のダイアログが表示されます。
企業が fine-grained personal access tokens にオプトインしていない場合でも、企業が所有する組織はオプトインできます。 Enterprise Managed Users を含むすべてのユーザーは、企業の fine-grained personal access tokens に対するオプトイン状態にかかわらず、ユーザーが所有するリソース (自分のアカウントで作成されたリポジトリなど) にアクセスできる fine-grained personal access tokens を作成できます。
personal access tokens によるアクセスの制限
企業所有者は、企業のメンバーがpersonal access tokensを使用して、企業が所有するリソースにアクセスできないようにすることができます。 次のオプションを使用して、personal access tokens (classic) と fine-grained personal access tokens に対して、これらの制限を個別に構成できます。
- 組織によるアクセス要件の構成を許可する: 企業が所有する各 組織は、personal access tokens で、アクセスを制限するか許可するかを決定できます。
- personal access tokens を介したアクセスを制限する: Personal access tokens は、企業が所有する組織にアクセスできません。 personal access tokens によって作成された SSH キーは、引き続き機能します。 Organization は、この設定をオーバーライドできません。
- personal access tokens を介したアクセスを許可する: Personal access tokens は、企業が所有する組織にアクセスできます。 Organization は、この設定をオーバーライドできません。
選択したポリシーに関係なく、Personal access tokens は、企業が管理する組織内のパブリック リソースにアクセスできます。
-
GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。
-
ポリシーの下で、 Personal access tokens をクリックします。
-
トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
-
Fine-grained personal access tokens または組織へのアクセスからpersonal access tokens (classic)を制限するで、アクセスポリシーを選択します。
-
[保存] をクリックします。
personal access tokens の最長有効期間ポリシーを適用する
企業所有者は、fine-grained personal access tokens と personal access tokens (classic) の両方の有効期間の上限を設定および削除して、企業リソースを保護するのを支援できます。 企業内の組織の所有者は、組織の有効期間ポリシーをさらに制限できます。 「personal access tokensの最長有効期間ポリシーの適用」を参照してください。
fine-grained personal access tokens の場合、組織と企業の既定の最長有効期間ポリシーは、366 日以内に期限切れに設定されます。 Personal access tokens (classic) には、有効期限の要件がありません。
ポリシー実施の詳細
Enterprise Managed Users の場合、企業がユーザー アカウントを所有しているため、企業レベルのポリシーは、ユーザー名前空間にも適用されます。
最長有効期間に関するポリシーは、fine-grained personal access tokens と personal access tokens (classic) に対して、若干異なる方法で適用されます。 tokens (classic) の場合、トークンが使用され、SSO 資格情報の承認が試行されたときに実施が発生し、エラーによってユーザーに有効期間の調整が求められます。 fine-grained personal access tokens の場合、ターゲット組織はトークンの作成時に認識されます。 どちらの場合も、現在のトークンがポリシーの制限を超えた場合、準拠している有効期間でトークンを再生成するように求められます。
ポリシーを設定すると、準拠していない有効期間のトークンは、そのトークンが組織のメンバーに属している場合、組織へのアクセスがブロックされます。 このポリシーを設定しても、これらのトークンの取り消しも無効化も行われません。 ユーザーは、組織の API 呼び出しが拒否されたときに、既存のトークンが非準拠であることが分かります。
最長有効期間ポリシーの設定
-
GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。1. ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。、次に Personal access token をクリックします。
-
トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
-
personal access tokensの最長有効期間の設定で、最長有効期間を設定します。 トークンは、この日数以下の有効期間で作成する必要があります。
-
必要に応じて、このポリシーから企業管理者を除外するには、管理者の除外チェック ボックスをオンにします。 ユーザー プロビジョニングに SCIM を使用する場合か、まだ GitHub App に移行していない自動化がある場合は、このポリシーから除外する必要があります。
Warning
Enterprise Managed Users を使用する場合は、企業管理者を除外しない限り、サービス中断のリスクを受け入れるように求められます。 これにより、潜在的なリスクを確実に把握できます。
-
[保存] をクリックします。
fine-grained personal access tokens の承認ポリシーを適用する
企業所有者は、次のオプションを使用して、各 fine-grained personal access token の承認要件を管理できます。
- 組織が承認要件を構成できるようにする: 企業所有者は、企業内の各組織がトークンに対して独自の承認要件を設定することを許可できます。
- 商人要件:企業所有者は、企業内のすべての組織が、組織にアクセスできる各fine-grained personal access token を承認する必要があることを要求できます。 これらのトークンは、承認を必要とせずに、組織内のパブリック リソースを読み取ることができます。
- 承認を無効にする:Organization のメンバーによって作成された Fine-grained personal access token は、事前の承認なしに Enterprise が所有する Organization にアクセスできます。 Organization は、この設定をオーバーライドできません。
Note
承認の対象となるのは fine-grained personal access token だけであり、personal access tokens (classic) はなりません。 personal access token (classic) は、組織または企業が personal access tokens (classic) によるアクセスを制限していない限り、事前の承認なしに組織リソースにアクセスできます。personal access tokens (classic) の制限の詳細については、このページの「personal access tokensによるアクセスの制限」と「組織の個人用アクセス トークン ポリシーを設定する」を参照してください。
-
GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
-
ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。
-
ポリシーの下で、 Personal access tokens をクリックします。
-
粒度の細かいトークンタブを選択します。
-
fine-grained personal access tokensの承認を要求するで、承認ポリシーを選択します。
-
[保存] をクリックします。