使用双因素身份验证管理机器人和服务帐户

您可以管理对启用了双因素身份验证的机器人和服务帐户的共享访问权限。

本文内容

关于使用双因素身份验证 (2FA) 管理机器人或服务帐户

您应该确保为组织中无人值守或共享访问帐户(例如机器人和服务帐户)启用 2FA,以便保护这些帐户。为机器人或服务帐户启用 2FA 可确保用户必须使用 2FA 进行身份验证才能登录 GitHub.com 上的帐户。它不会影响帐户在其自动化中使用现有令牌进行身份验证的能力。

注意

当您要求对组织使用双因素身份验证时,不使用 2FA 的无人值守帐户将从组织中删除,并将失去对其存储库的访问权限。

使用 2FA 管理对机器人或服务帐户的共享访问权限

GitHub 建议以下步骤来管理对启用了 2FA 的机器人或服务帐户的共享访问权限。这些步骤可确保只有拥有邮件列表(由您控制)和中心存储的 TOTP 密钥的人员才能登录该帐户。

  1. 为机器人或服务帐户设置一个邮件列表,并将所有帐户所有者作为别名成员。

  2. 将新的邮件列表地址添加为共享帐户设置中的已验证电子邮件地址。有关更多信息,请参阅“将电子邮件地址添加到您的 GitHub 帐户”。

  3. 如果您尚未执行此操作,请使用身份验证器应用 (TOTP) 为机器人或服务帐户配置 2FA。有关更多信息,请参阅“使用双因素身份验证 (2FA) 保护您的帐户”。

  4. 将 2FA 设置过程中提供的 TOTP 密钥存储在您的组织使用的密码管理器中。

    注意

    不要将共享帐户的密码存储在密码管理器中。每次需要登录共享帐户时,您都将使用密码重置功能。

    如果您已经使用 TOTP 配置了 2FA,并且需要找到 TOTP 密钥,请使用以下步骤

    1. 在共享帐户的设置中,点击 密码和身份验证

    2. 在“双因素方法”下,“身份验证器应用”右侧,点击编辑

    3. 在“身份验证器应用”中,QR 码下方,点击设置密钥

      Screenshot of the "Authenticator app" settings. An embedded link, titled "setup key", is highlighted in a dark orange outline.

    4. 复制对话框中显示的密钥。

    5. 使用复制的密钥重新配置 2FA。

  5. 选择一个 CLI 应用(例如 oathtool)从 TOTP 密钥生成 TOTP 代码。每次需要访问帐户时,您都将使用该应用从 TOTP 密钥生成新的 TOTP 代码。有关更多信息,请参阅 OATH 工具包文档中的oathtool

  6. 当您需要访问帐户时,使用密码重置功能重置密码(通过邮件列表),并使用 CLI 应用生成 TOTP 代码。