Skip to main content

Сведения об ограничениях доступа к приложению OAuth

Организации могут выбирать, какие OAuth apps имеют доступ к их хранилищам и другим ресурсам, введя OAuth app ограничения на доступ.

О ограничениях OAuth app доступа

Если включены ограничения доступа OAuth app , члены организации и внешний участник совместной работы не могут авторизовать доступ OAuth app к ресурсам организации. Пользователи могут запросить одобрение владельца на OAuth apps, которые они хотят использовать, а владельцы организаций получают уведомление о ожидающих запросах.

Владельцы организации могут выбрать, разрешать ли внешний участник совместной работы запрашивать доступ к неутвержденным OAuth apps и GitHub Apps. Дополнительные сведения см. в разделе Ограничение запросов и установок доступа приложений OAuth и GitHub.

Даже если вы ограничиваете OAuth apps доступ в вашей организации, пользователи всё равно могут авторизовать привилегированные OAuth apps данные и использовать их для доступа к данным организации. Дополнительные сведения см. в разделе Привилегированные приложения OAuth.

При создании новой организации ограничения доступа OAuth app включены по умолчанию. Владельцы организации могут в любое время отключить ограничения доступа OAuth app.

Предупреждение

Если организация не установила OAuth app ограничений на доступ, любой OAuth app , авторизованный членом организации, также может получить доступ к частным ресурсам организации.

Для дополнительной защиты ресурсов вашей организации вы можете обновиться до GitHub Enterprise Cloud, что включает функции безопасности, такие как единый вход SAML. Дополнительные сведения о том, как использовать GitHub Enterprise Cloud бесплатно, см. в статье "Настройка пробной версии GitHub Enterprise Cloud".

Введение OAuth app ограничений на доступ

Когда владелец организации впервые устанавливает OAuth app ограничения на доступ:

  • Приложения, принадлежащие организации, автоматически получают доступ к ресурсам организации.
  • OAuth apps Сразу же теряют доступ к ресурсам организации.
  • Ключи SSH, созданные до февраля 2014 г., незамедлительно теряют доступ к ресурсам организации (включая ключи пользователя и развертывания).
  • SSH-ключи, созданные OAuth apps в феврале 2014 года или позже , сразу же теряют доступ к ресурсам организации.
  • Доставки крючков из частных корпоративных репозиториев больше не будут отправляться в несанкционированные OAuth apps.
  • Доступ API к ресурсам частной организации недоступен для неодобренных OAuth apps. Кроме того, для общедоступных ресурсов организации будут отсутствовать привилегированные действия по созданию, обновлению или удалению.
  • Перехватчики, созданные пользователями, и перехватчики, созданные до мая 2014 г., не будут затронуты.
  • Ограничения на доступ касаются и частных вилок репозиториев, принадлежащих организации.

Устранение сбоев доступа по протоколу SSH

Если SSH-ключ, созданный до февраля 2014 года, теряет доступ к организации с OAuth app включенными ограничениями доступа, последующие попытки SSH будут неудачными. Пользователи столкнутся с сообщением об ошибке, которое направляет их на URL-адрес, где можно утвердить ключ или отправить вместо него доверенный ключ.

Веб-перехватчики

Когда OAuth app доступ к организации будет предоставлен после включения ограничений, все существующие вебхуки, созданные им OAuth app , возобновят доставку.

Когда организация удаляет доступ с ранее одобренного OAuth appвебхука, любые существующие вебхуки, созданные этим приложением, больше не будут отправляться (эти хуки будут отключены, но не удалены).

Повторное включение ограничений доступа

Если организация отключает OAuth app ограничения на доступ к приложениям, а затем снова их активирует, ранее одобренные OAuth app автоматически получают доступ к ресурсам организации.

Дополнительные материалы