Skip to main content

엔터프라이즈에서 SSO 권한 부여 취소 또는 자격 증명 삭제

엔터프라이즈에 대한 액세스 권한이 있는 자격 증명에 대한 조치를 취하여 보안 인시던트에 대응합니다.

누가 이 기능을 사용할 수 있나요?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

엔터프라이즈가 보안 인시던트에 의해 영향을 받는 경우 엔터프라이즈 또는 해당 조직에 프로그래밍 방식으로 액세스하지 못하게 하여 대응할 수 있습니다.

사용 가능한 작업은 다음과 같습니다.

  • 엔터프라이즈에서 사용자 자격 증명에 대한 SSO로 보호되는 조직 리소스에 대한 액세스를 제거하려면 SSO 권한 부여를 취소합니다.
  • 키와 토큰을 삭제 하여 SSO 권한 부여가 없는 경우에도 엔터프라이즈에서 사용자 토큰 및 SSH 키를 제거합니다(Enterprise Managed Users 전용).

엔터프라이즈 설정의 "인증 보안" 섹션에서 SSO(Single Sign-On)에 대해 권한이 부여된 사용자 토큰 및 키의 개수를 검토할 수 있습니다. 필요한 경우 자격 증명에 대해 조치를 취할 수 있습니다.

  • 개별 멤버의 경우: 대상 인시던트에 응답하거나 일상적인 액세스 정리를 수행할 때 특정 사용자에 대한 SSO 권한 부여를 취소하거나 자격 증명을 삭제합니다.
  • 모든 멤버의 경우(대량 작업) : 주요 보안 인시던트에 응답할 때 SSO 권한 부여를 취소하거나 모든 멤버에서 자격 증명을 삭제하는 대량 작업을 수행합니다.

인증 보안 페이지에 액세스

  1. 귀하의 기업으로 이동하세요. 예를 들어 GitHub.com의 Enterprises 페이지에서.
  2. 페이지 맨 위에서 클릭합니다****.
  3. 왼쪽 사이드바에서 인증 보안을 클릭합니다.

자격 증명 검토

"자격 증명" 섹션에서 엔터프라이즈의 조직에 대해 하나 이상의 SSO 권한 부여 가 있는 각 형식의 자격 증명 수를 볼 수 있습니다. 자세한 내용은 Single Sign-On을 사용한 인증에 대하여을(를) 참조하세요.

개수는 다음과 같습니다.

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • 사용자 SSH 키
  • GitHub App 및 OAuth app 사용자 액세스 토큰

토큰 유형이 10,000개 이하인 경우 정확한 개수가 표시됩니다. 이 그림 위에 설명 10k+ tokens 이 표시됩니다.

사용 가능한 작업 이해하기

다음 섹션에서는 각 작업이 수행하는 작업, 영향을 받은 SSO 권한 부여 또는 자격 증명 및 관련 감사 로그 이벤트에 대해 설명합니다.

참고

귀사에서 사용하지Enterprise Managed Users 않고 SAML SSO를 사용하도록 설정하지 않은 경우, 이 두 작업을 모두 사용할 수 없습니다. 대안으로, 인시던트 대응의 일환으로 사용자가 personal access tokens를 교체해야 하는 경우, 모든 personal access tokens이 만료되도록 엔터프라이즈 정책을 구성할 수 있습니다. Enterprise에서 개인용 액세스 토큰에 대한 정책 적용을(를) 참조하세요.

SSO 권한 부여 취소

이 작업은 Enterprise Managed Users 또는 SAML SSO를 사용하는 기업에서 사용할 수 있습니다.

권한 부여를 취소하면 특정 사용자 또는 엔터프라이즈의 모든 조직에서 사용자 토큰 및 SSH 키에 대한 SSO 권한 부여가 제거됩니다.

  • SSO 권한 부여가 취소된 자격 증명은 영향을 받는 조직에 대해 다시 권한을 부여할 수 없습니다 . 액세스를 복원하려면 사용자가 새 자격 증명을 만들고 권한을 부여해야 합니다.
  • 자격 증명 자체는 삭제되지 않으며 사용자 및 엔터프라이즈 범위 및 비 SSO 보호 조직에 대한 권한은 활성 상태로 유지됩니다.
  • SSO에 대한 권한이 부여되지 않은 자격 증명은 영향을 받지 않습니다.

권한 부여는 fine-grained personal access tokens 다르게 작동하므로 이 작업은 이 토큰 유형에 다른 영향을 줍니다. 조직이 "리소스 소유자"인 세분화된 PAT의 경우 리소스 소유자가 제거되어 조직 리소스에 대한 액세스가 제거됩니다. 사용자는 리소스 소유자를 조직 계정으로 다시 변경할 수 있으며, 승인이 필요할 수 있습니다( Enterprise에서 개인용 액세스 토큰에 대한 정책 적용 참조).

키 및 토큰 삭제

이 작업은 Enterprise Managed Users에서만 사용할 수 있습니다.

키 및 토큰을 삭제하면 SSO에 대한 권한이 부여되었는지 여부에 관계없이 특정 사용자 또는 모든 사용자에 대해 엔터프라이즈에 액세스할 수 있는 자격 증명이 제거됩니다. 자격 증명이 작동을 중지하고 더 이상 UI에 표시되지 않습니다.

프로그래밍 방식 액세스를 복원하려면 사용자는 새 자격 증명을 만들고, 필요한 경우 조직에 권한을 부여하고, 영향을 받는 프로세스를 업데이트하여 새 자격 증명을 사용해야 합니다.

포함된 자격 증명

두 작업 모두 다음 자격 증명 형식을 포함합니다.

  • 사용자 SSH 키
  • OAuth apps 사용자 액세스 토큰(ghu_)
  • GitHub App 사용자 액세스 토큰
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

위에서 설명한 대로 fine-grained personal access tokens의 경우 "권한 철회" 작업은 다르게 작동한다는 점에 유의하세요.

다음 자격 증명 형식은 영향을 받지 않습니다 .

  • GitHub App 설치 토큰(ghs_)
  • Fine-grained personal access tokens
  • 배포 키
  • GitHub Actions GITHUB_TOKEN 액세스

감사 및 보안 로그 이벤트

"권한 부여 해지" 작업은 다음 이벤트를 생성합니다.

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

"토큰 삭제" 작업도 이러한 이벤트를 생성하고 다음 이벤트를 추가로 생성합니다.

  • oauth_access.destroy
  • personal_access_token.destroy

개별 구성원에 대한 조치 수행

특정 사용자에 대한 SSO 권한 부여를 취소하거나 자격 증명을 삭제할 수 있습니다. 이는 손상된 계정 또는 분실된 하드웨어와 같은 개별 계정에 영향을 주는 인시던트에 대응하거나 일상적인 액세스 정리에 유용합니다.

특정 사용자에 대한 권한 부여 취소

  1. 귀하의 기업으로 이동하세요. 예를 들어 GitHub.com의 Enterprises 페이지에서.
  2. 페이지 맨 위에서 클릭합니다****.
  3. 왼쪽 사이드바에서 인증 보안을 클릭합니다.
  4. "위험 영역" 섹션에서 ▼에 대해 취소를 클릭한 다음 특정 사용자를 클릭합니다.
  5. 권한 부여를 취소할 사용자를 선택합니다.
  6. 확인하려면 USERNAME credentials를 입력하세요(USERNAME는 사용자의 사용자 이름으로 바꾸세요).
  7. 권한 부여 취소를 클릭합니다.

특정 사용자에 대한 자격 증명 삭제

이 작업은 Enterprise Managed Users에만 사용할 수 있습니다.

  1. 귀하의 기업으로 이동하세요. 예를 들어 GitHub.com의 Enterprises 페이지에서.
  2. 페이지 맨 위에서 클릭합니다****.
  3. 왼쪽 사이드바에서 인증 보안을 클릭합니다.
  4. "위험 영역" 섹션에서 [삭제]를 클릭한 다음 특정 사용자를 클릭합니다.
  5. 자격 증명을 삭제할 사용자를 선택합니다.
  6. 확인하려면 USERNAME credentials를 입력하세요(USERNAME를 사용자의 사용자 이름으로 바꿔서).
  7. 키 및 토큰 삭제를 클릭합니다.

모든 멤버에 대해 일괄 작업 수행

위험 영역 대량 작업 단추를 사용하여 엔터프라이즈의 모든 구성원에 대해 조치를 취하여 주요 보안 인시던트에 대응합니다.

경고

대량 작업은 주요 보안 인시던트를 위해 예약해야 하는 강력한 작업입니다. 자동화를 중단시킬 가능성이 높으며 원래 상태를 복원하는 데 몇 달이 걸릴 수 있습니다.

모든 멤버에 대한 권한 부여 취소

  1. 귀하의 기업으로 이동하세요. 예를 들어 GitHub.com의 Enterprises 페이지에서.
  2. 페이지 맨 위에서 클릭합니다****.
  3. 왼쪽 사이드바에서 인증 보안을 클릭합니다.
  4. "위험 구역" 섹션에서 ▼에 대한 취소 를 클릭한 다음, 모든 사용자 를 클릭합니다.
  5. 이 작업의 영향에 대한 경고를 읽습니다.
  6. 확인하려면 엔터프라이즈의 이름을 입력합니다.
  7. 권한 부여 취소를 클릭합니다.

모든 멤버에 대한 자격 증명 삭제

이 작업은 Enterprise Managed Users에서만 사용할 수 있습니다.

  1. 귀하의 기업으로 이동하세요. 예를 들어 GitHub.com의 Enterprises 페이지에서.
  2. 페이지 맨 위에서 클릭합니다****.
  3. 왼쪽 사이드바에서 인증 보안을 클릭합니다.
  4. "위험 구역" 섹션에서 ▼에 대한 삭제 를 클릭한 다음 모든 사용자 를 클릭합니다.
  5. 이 작업의 영향에 대한 경고를 읽습니다.
  6. 확인하려면 엔터프라이즈의 이름을 입력합니다.
  7. 키 및 토큰 삭제를 클릭합니다.

소규모 응답을 위한 리소스

다음 문서에서는 특정 손상된 토큰 또는 사용자 계정을 식별할 수 있는 범위가 더 작은 인시던트 관리에 대한 대체 작업을 설명합니다.