企業での SSO 承認の取り消しまたは資格情報の削除

企業にアクセスできる資格情報に対して一括アクションを実行して、セキュリティ インシデントに対応します。

この機能を使用できるユーザーについて

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

この記事で

企業が大規模なセキュリティ インシデントの影響を受けた場合は、企業またはその組織へのプログラムによるアクセスを防ぐことで対応できます。

エンタープライズ設定の [認証セキュリティ] セクションでは、シングル サインオン (SSO) が承認されているユーザー トークンとキーの数を確認できます。 その後、必要に応じて、"危険ゾーン" で次のいずれかの一括アクションを使用できます。

  • SSO 承認を取り消して、 企業内のユーザー資格情報の SSO で保護された組織リソースへのアクセスを削除します。
  • キーとトークンを削除して、エンタープライズ内のユーザー トークンと SSH キーを削除します (SSO 承認がない場合でも (Enterprise Managed Users のみ)。

警告

これらは、重大なセキュリティ インシデント用に予約する必要がある影響の大きいアクションです。 自動化が中断される可能性があり、元の状態を復元するには数か月かかる場合があります。 侵害された個々のトークンに小規模で応答するための代替オプションについては、「小規模な 応答のリソース 」セクションを参照してください。

認証セキュリティ ページへのアクセス

  1. 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
  2. ページの上部にある [ Settings] をクリックします。
  3. 左側のサイドバーで、[ 認証セキュリティ] をクリックします。

資格情報の確認

[資格情報] セクションでは、企業内の組織に対して 少なくとも 1 つの SSO 承認 を持つ各種類の資格情報の数を確認できます。 詳しくは、「シングル サインオンでの認証について」をご覧ください。

カウントには次のものが含まれます。

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • ユーザー SSH キー
  • GitHub App および OAuth app ユーザー アクセス トークン

トークンの種類が 10,000 以下の場合、正確な数が表示されます。 その図の上に、説明 10k+ tokens が表示されます。

一括アクションの実行 (危険ゾーン)

          **[危険ゾーン**の一括アクション] ボタンを使用して、必要に応じてセキュリティ インシデントに対応します。 次のセクションでは、各アクション、SSO の承認または資格情報が影響を受けるアクション、および関連する監査ログ イベントについて説明します。

メモ

企業が Enterprise Managed Users を使用 せず 、SAML SSO を有効 にしていない 場合は、どちらのアクションも使用できません。 別の方法として、インシデント対応の一環として personal access tokens を置き換える必要がある場合、エンタープライズポリシーを構成してすべての personal access tokens が期限切れになるように設定できます。 「Enterprise 内の個人用アクセス トークンに対するポリシーの適用」を参照してください。

SSO 認可を取り消す

このアクションは、Enterprise Managed Users または SAML SSO を使用する企業で使用できます。

承認を取り消す場合、企業内のすべての組織でユーザー トークンと SSH キーの SSO 承認が削除されます。

  • SSO 承認が取り消された資格情報は、影響を受ける組織に対して 再承認することはできません 。 アクセスを復元するには、ユーザーが新しい資格情報を作成して承認する必要があります。

  • 資格情報自体は削除されず、ユーザースコープとエンタープライズ スコープ、および SSO で保護されていない組織に対するアクセス許可 はアクティブなままです

  • SSO が承認されていない資格情報は 影響を受けません

            **fine-grained personal access tokens** の認証は動作が異なるため、このアクションはこのトークン タイプに対して異なる影響を及ぼします。 組織が "リソース所有者" であるきめ細かい PAT、リソース所有者は削除され、組織のリソースへのアクセスは削除されます。 ユーザーは、リソース所有者を組織アカウントに戻すことができます。承認が必要な場合があります ( [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-personal-access-tokens-in-your-enterprise#enforcing-an-approval-policy-for-fine-grained-personal-access-tokens) を参照)。

キーとトークンを削除する

このアクションは、 Enterprise Managed Users でのみ使用できます。

キーとトークンを削除すると、SSO が承認されているかどうかに関係なく、エンタープライズにアクセスできる資格情報が削除されます。 資格情報が機能しなくなり、UI に表示されなくなります。

プログラムによるアクセスを復元するには、ユーザーは新しい資格情報を作成し、必要に応じて組織で承認し、影響を受けるプロセスを更新して新しい資格情報を使用する必要があります。

含まれている資格情報

どちらのアクションにも、次の資格情報の種類が含まれます。

  • ユーザー SSH キー
  • OAuth apps ユーザー アクセス トークン (ghu_)
  • GitHub App ユーザーアクセス トークン
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

上記で説明したように、fine-grained personal access tokens における「承認の取り消し」アクションの動作は異なります。

次の資格情報の種類は影響を受 けません

  • GitHub App インストール トークン (ghs_)
  • Fine-grained personal access tokens
  • デプロイ キー
  • GitHub Actions GITHUB_TOKEN アクセス

監査およびセキュリティログイベント

"承認の取り消し" アクションでは、次のイベントが生成されます。

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

"トークンの削除" アクションでは、これらのイベントも生成され、さらに次のイベントが生成されます。

  • oauth_access.destroy
  • personal_access_token.destroy

小規模な応答のためのリソース

次の記事では、特定の侵害されたトークンまたはユーザー アカウントを識別できる、スコープが小さいインシデントを管理するための代替アクションについて説明します。