Отзыв авторизаций SSO или удаление учетных данных в вашем предприятии

Реагируйте на инцидент с безопасностью, принимая меры по учётным данным с доступом к вашему предприятию.

Кто может использовать эту функцию?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

В этой статье

Когда ваше предприятие пострадало от инцидента с безопасностью, вы можете отреагировать, запретив программный доступ к вашему предприятию или его организациям.

Доступные действия

  • Отозвать авторизации SSO для удаления доступа к ресурсам организации с защищёнными SSO для использования учетных данных пользователей в вашем предприятии.
  • Удаляйте ключи и токены , чтобы удалить пользовательские и SSH-ключи в вашем предприятии, даже если у них нет авторизации SSO (Enterprise Managed Users только для SSO).

В разделе «Безопасность аутентификации» в корпоративных настройках вы можете просмотреть количество пользовательских токенов и ключей, авторизованных для единого входа (SSO). Затем, при необходимости, вы можете принять меры против удостоверений квалификации:

  • Для отдельных участников: отменить авторизации SSO или удалить учетные данные конкретного пользователя при реагировании на целевой инцидент или при рутинной очистке доступа.
  • Для всех участников (массовое действие): Предпринимайте массовые действия по аннулированию авторизаций SSO или удалению учетных данных всех участников при реагировании на крупный инцидент с безопасностью.

Доступ к странице безопасности аутентификации

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В левой боковой панели нажмите «Безопасность аутентификации».

Проверка квалификаций

В разделе «Идентификационные данные» вы можете увидеть, сколько учётных данных каждого типа имеют хотя бы одну авторизацию SSO для организации в вашем предприятии. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа.

К ним относятся:

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • Пользовательские SSH-ключи
  • GitHub App и OAuth app токены доступа пользователей

Точный счёт отображается, если их есть 10 000 или менее одного типа жетона. Выше этой цифры отображается описание 10k+ tokens .

Понимание доступных действий

В следующих разделах описывается, что делает каждое действие, какие авторизации или удостоверения SSO затронуты, а также связанные события журнала аудита.

Примечание.

Если ваше предприятие не использует Enterprise Managed Users и не включило SAML SSO, ни одно из этих действий недоступно. В качестве альтернативы, если вам нужна замена personal access tokens пользователей в рамках реагирования на инциденты, вы можете настроить корпоративную политику так, чтобы она истекала все personal access tokens. См . раздел AUTOTITLE.

Отменить авторизации SSO

Это действие доступно для Enterprise Managed Users предприятий, использующих SAML SSO.

Отзыв авторизаций удаляет авторизации SSO для пользовательских токенов и SSH-ключей, как для конкретного пользователя, так и во всех организациях вашего предприятия.

  • Учётные данные, у которых были аннулированы авторизации SSO, не могут быть повторно авторизованы для затронутых организаций. Для восстановления доступа пользователям необходимо создать новые учетные данные и авторизировать их.
  • Сами учетные данные не удаляются, их права на пользовательские и корпоративные сферы деятельности, а также для организаций, не защищённых SSO, остаются активными.
  • Учётные данные, которые не были одобрены для SSO, не затрагиваются.

Авторизация fine-grained personal access tokens для работает иначе, поэтому это действие действует иначе на тип токена. Для мелких PAT, где организация является «владельцем ресурса», владелец ресурса убирается, что убирает доступ к ресурсам организации. Пользователи могут вернуть владельца ресурса обратно в учётную запись организации, что может требовать одобрения (см. Применение политик для персональных маркеров доступа в вашей организации).

Удаление ключей и токенов

Это действие доступно только для Enterprise Managed Users них.

Удаление ключей и токенов удаляет учетные данные, имеющие доступ к вашему предприятию, как для конкретного пользователя, так и для всех пользователей, независимо от того, разрешены ли они на SSO. Учетные данные перестают работать и больше не отображаются в интерфейсе.

Для восстановления программного доступа пользователям необходимо создавать новые учетные данные, авторизировать их в организациях при необходимости и обновлять затронутые процессы для использования новых учетных данных.

Включённые документы

Оба действия включают следующие типы учетных данных:

  • Пользовательские SSH-ключи
  • OAuth apps Пользовательские токены доступа (ghu_)
  • GitHub App Пользовательские токены доступа
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

Обратите внимание, что действие «отменить авторизации» работает иначе для fine-grained personal access tokens, как объяснялось выше.

Следующие типы учетных данных не подпадают:

  • GitHub App Токены установки (ghs_)
  • Fine-grained personal access tokens
  • Ключи развертывания
  • GitHub Actions GITHUB_TOKEN Доступ

События аудита и журнала безопасности

Действие «отзыва разрешений» порождает следующие события:

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

Действие «удалить токены» также генерирует эти события, а также следующие события:

  • oauth_access.destroy
  • personal_access_token.destroy

Принятие мер против отдельных членов

Вы можете отозвать авторизации SSO или удалить учетные данные конкретного пользователя. Это полезно для реагирования на инциденты, затрагивающие отдельные аккаунты, такие как скомпрометированный аккаунт или потерянное оборудование, а также для рутинной очистки доступа.

Отзыв авторизаций для конкретного пользователя

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В левой боковой панели нажмите «Безопасность аутентификации».
  4. В разделе «Опасная зона» нажмите « Отменить» для ▼, затем выберите «Конкретный пользователь».
  5. Выберите пользователя, чьи авторизации вы хотите отозвать.
  6. Для подтверждения введите USERNAME credentials (заменив USERNAME на имя пользователя).
  7. Нажмите «Отменить авторизации».

Удаление учетных данных для конкретного пользователя

Это действие доступно только для Enterprise Managed Users них.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В левой боковой панели нажмите «Безопасность аутентификации».
  4. В разделе «Зона опасности» нажмите «Удалить» для ▼, затем выберите «Конкретный пользователь».
  5. Выберите пользователя, чьи учетные данные вы хотите удалить.
  6. Для подтверждения введите USERNAME credentials (заменив USERNAME на имя пользователя).
  7. Нажмите «Удалить клавиши и токены».

Массовые меры против всех членов

Используйте кнопки массового действия Danger Zone, чтобы реагировать на крупный инцидент с безопасностью, предпринимая меры против всех членов вашего предприятия.

Предупреждение

Массовые акции — это действия с высоким уровнем воздействия, которые следует резервировать для крупных инцидентов с безопасностью. Они, скорее всего, сломают автоматизацию, и восстановление исходного состояния может занять месяцы.

Отзыв полномочий для всех членов

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В левой боковой панели нажмите «Безопасность аутентификации».
  4. В разделе «Опасная зона» нажмите « Отменить » для ▼, затем « Все пользователи».
  5. Прочитайте предупреждение о последствиях этого действия.
  6. Чтобы подтвердить, введите название вашего предприятия.
  7. Нажмите «Отменить авторизации».

Удаление учетных данных для всех членов

Это действие доступно только для Enterprise Managed Users них.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В левой боковой панели нажмите «Безопасность аутентификации».
  4. В разделе «Зона опасности» нажмите «Удалить » для ▼, затем нажмите « Все пользователи».
  5. Прочитайте предупреждение о последствиях этого действия.
  6. Чтобы подтвердить, введите название вашего предприятия.
  7. Нажмите «Удалить клавиши и токены».

Ресурсы для маломасштабных ответов

Следующие статьи описывают альтернативные действия для управления инцидентами меньшего масштаба, где можно выявить конкретные скомпрометированные токены или учетные записи пользователей.