Skip to main content

Revocar las autorizaciones de SSO o eliminar credenciales en su empresa

Responda a un incidente de seguridad tomando medidas sobre las credenciales con acceso a su empresa.

¿Quién puede utilizar esta característica?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

Cuando la empresa se ve afectada por un incidente de seguridad, puede responder evitando el acceso mediante programación a su empresa o a sus organizaciones.

Acciones disponibles:

  • Revoque las autorizaciones de SSO para quitar el acceso a los recursos de la organización protegida por SSO para las credenciales de usuario de su empresa.
  • Elimine claves y tokens para eliminar los tokens de usuario y las claves SSH de su empresa, incluso si no tienen autorización SSO (solo Enterprise Managed Users).

En la sección "Seguridad de autenticación" de la configuración empresarial, puede revisar los recuentos de tokens de usuario y claves que están autorizados para el inicio de sesión único (SSO). Después, si es necesario, puede tomar medidas con respecto a las credenciales:

  • Para miembros individuales: revoque las autorizaciones de SSO o elimine las credenciales de un usuario específico al responder a un incidente de destino o realizar una limpieza de acceso rutinaria.
  • Para todos los miembros (acción masiva): realice una acción masiva para revocar las autorizaciones de SSO o eliminar credenciales en todos los miembros al responder a un incidente de seguridad importante.

Acceso a la página de seguridad de autenticación

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Configuración.
  3. En la barra lateral izquierda, haga clic en Seguridad de autenticación.

Revisión de credenciales

En la sección "Credenciales", puede ver cuántas credenciales de cada tipo tienen al menos una autorización de SSO para una organización de su empresa. Para más información, consulta Acerca de la autenticación con el inicio de sesión único (SSO).

Los recuentos incluyen:

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • Claves SSH de usuario
  •           Tokens de acceso de usuario GitHub App y OAuth app
    

Se muestra un recuento exacto si hay 10 000 o menos de un tipo de token. Encima de esa figura, se muestra la descripción 10k+ tokens .

Descripción de las acciones disponibles

En las secciones siguientes se describe lo que hace cada acción, qué autorizaciones o credenciales de SSO se ven afectadas y los eventos de registro de auditoría relacionados.

Nota:

Si su empresa no utiliza Enterprise Managed Users y no ha habilitado el SSO de SAML, ninguna de estas acciones está disponible. Como alternativa, si necesita que los usuarios reemplacen personal access tokens como parte de la respuesta a incidentes, puede configurar una directiva empresarial para que expire todo personal access tokens. Consulta Imposición de políticas para tokens de acceso personales en su empresa.

Revocar autorizaciones de SSO

Esta acción está disponible para Enterprise Managed Users o para empresas que utilizan el inicio de sesión único mediante SAML.

La revocación de autorizaciones quita las autorizaciones de SSO para tokens de usuario y claves SSH, ya sea para un usuario específico o en todas las organizaciones de su empresa.

  • Las credenciales que han tenido autorizaciones de SSO revocadas no se pueden volver a autorizar para las organizaciones afectadas. Para restaurar el acceso, los usuarios deben crear nuevas credenciales y autorizarlas.
  • Las credenciales en sí no se eliminan y sus permisos para los ámbitos de usuario y empresa, y para las organizaciones que no están protegidas por SSO, permanecen activos.
  • Las credenciales que no se han autorizado para el inicio de sesión único no se ven afectadas.

La autorización para fine-grained personal access tokens funciona de forma diferente, por lo que esta acción tiene un efecto diferente en este tipo de token. Para los PAT específicos en los que una organización es el "propietario del recurso", se elimina al propietario del recurso, lo que resulta en la pérdida de acceso a los recursos de la organización. Los usuarios pueden volver a cambiar el propietario del recurso a la cuenta de la organización, lo que puede requerir aprobación (consulte Imposición de políticas para tokens de acceso personales en su empresa).

Eliminación de claves y tokens

Esta acción solo está disponible para Enterprise Managed Users .

Al eliminar claves y tokens, se quitan las credenciales que tienen acceso a la empresa, ya sea para un usuario específico o para todos los usuarios, independientemente de si están autorizados para el inicio de sesión único. Las credenciales dejan de funcionar y ya no están visibles en la interfaz de usuario.

Para restaurar el acceso mediante programación, los usuarios deben crear nuevas credenciales, autorizarlas con organizaciones si es necesario y actualizar los procesos afectados para usar las nuevas credenciales.

Credenciales incluidas

Ambas acciones incluyen los siguientes tipos de credenciales:

  • Claves SSH de usuario
  • OAuth apps tokens de acceso de usuario (ghu_)
  • GitHub App tokens de acceso de usuario
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

Tenga en cuenta que la acción "revocar autorizaciones" funciona de forma diferente para fine-grained personal access tokens, como se explicó anteriormente.

Los siguientes tipos de credenciales no se ven afectados:

  • GitHub App tokens de instalación (ghs_)
  • Fine-grained personal access tokens
  • Claves de implementación
  • GitHub Actions GITHUB_TOKEN acceso

Eventos de registro de auditoría y seguridad

La acción "revocar autorizaciones" genera los siguientes eventos:

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

La acción "eliminar tokens" también genera esos eventos y, además, genera los siguientes eventos:

  • oauth_access.destroy
  • personal_access_token.destroy

Tomar medidas contra miembros individuales

Puede revocar autorizaciones de SSO o eliminar credenciales para un usuario específico. Esto resulta útil para responder a incidentes que afectan a cuentas individuales, como una cuenta en peligro o hardware perdido, o para la limpieza de acceso rutinario.

Revocar autorizaciones para un usuario específico

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Configuración.
  3. En la barra lateral izquierda, haga clic en Seguridad de autenticación.
  4. En la sección "Zona de peligro", haga clic en Revocar para ▼ y, a continuación, haga clic en Un usuario específico.
  5. Seleccione el usuario cuyas autorizaciones desea revocar.
  6. Para confirmarlo, escriba USERNAME credentials (reemplazando USERNAME por el nombre de usuario del usuario).
  7. Haga clic en Revocar autorizaciones.

Eliminación de credenciales para un usuario específico

Esta acción solo está disponible para Enterprise Managed Users .

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Configuración.
  3. En la barra lateral izquierda, haga clic en Seguridad de autenticación.
  4. En la sección "Zona de peligro", haga clic en Eliminar para ▼ y, a continuación, haga clic en Un usuario específico.
  5. Seleccione el usuario cuyas credenciales desea eliminar.
  6. Para confirmarlo, escriba USERNAME credentials (reemplazando USERNAME por el nombre de usuario del usuario).
  7. Haga clic en Eliminar claves y tokens.

Tomar medidas masivas contra todos los miembros

Use los botones de acción masiva zona de peligro para responder a un incidente de seguridad importante mediante la acción contra todos los miembros de su empresa.

Advertencia

Las acciones masivas son acciones de alto impacto que se deben reservar para incidentes de seguridad importantes. Es probable que interrumpan las automatizaciones y podrían tardar meses en restaurar el estado original.

Revocar autorizaciones para todos los miembros

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Configuración.
  3. En la barra lateral izquierda, haga clic en Seguridad de autenticación.
  4. En la sección "Zona de peligro", haga clic en Revocar para ▼ y, a continuación, haga clic en Todos los usuarios.
  5. Lea la advertencia sobre el impacto de esta acción.
  6. Para confirmarlo, escriba el nombre de la empresa.
  7. Haga clic en Revocar autorizaciones.

Eliminar las credenciales de todos los miembros

Esta acción solo está disponible para Enterprise Managed Users .

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Configuración.
  3. En la barra lateral izquierda, haga clic en Seguridad de autenticación.
  4. En la sección "Zona de peligro", haga clic en Eliminar para ▼, a continuación, haga clic en Todos los usuarios.
  5. Lea la advertencia sobre el impacto de esta acción.
  6. Para confirmarlo, escriba el nombre de la empresa.
  7. Haga clic en Eliminar claves y tokens.

Recursos para respuestas a menor escala

En los artículos siguientes se describen acciones alternativas para administrar incidentes que son más pequeños en el ámbito, donde puede identificar tokens en peligro específicos o cuentas de usuario.