关于 OAuth 应用访问限制
启用 OAuth 应用访问限制后,组织成员和外部协作者将无法授权 OAuth 应用访问组织资源。组织成员可以请求所有者批准他们想要使用的 OAuth 应用,组织所有者会收到待处理请求的通知。
组织所有者可以选择是否允许外部协作者为未批准的 OAuth 应用和 GitHub 应用请求访问权限。有关更多信息,请参阅“限制 OAuth 应用和 GitHub 应用访问请求”。
即使您在组织中限制了 OAuth 应用的访问权限,用户仍然可以授权内部 OAuth 应用并使用它们访问组织中的数据。有关更多信息,请参阅“内部 OAuth 应用”。
创建新的组织时,默认情况下会启用 OAuth 应用访问限制。组织所有者可以随时禁用 OAuth 应用访问限制。
提示
如果组织未设置 OAuth 应用访问权限限制,则组织成员授权的任何 OAuth 应用也可以访问组织的私有资源。
为了进一步保护您的组织资源,您可以升级到 GitHub Enterprise Cloud,其中包含 SAML 单点登录等安全功能。有关如何免费试用 GitHub Enterprise Cloud 的更多信息,请参阅“试用 GitHub Enterprise Cloud”。
设置 OAuth 应用访问权限限制
组织所有者首次设置 OAuth 应用访问权限限制时
- 组织拥有的应用程序会自动获得访问组织资源的权限。
- OAuth 应用将立即失去访问组织资源的权限。
- 2014 年 2 月之前创建的 SSH 密钥将立即失去访问组织资源的权限(包括用户密钥和部署密钥)。
- 2014 年 2 月或之后由 OAuth 应用创建的 SSH 密钥将立即失去访问组织资源的权限。
- 来自私有组织仓库的 Hook 传递将不再发送到未批准的 OAuth 应用。
- API 访问私有组织资源对于未批准的 OAuth 应用不可用。此外,对公共组织资源没有特权的创建、更新或删除操作。
- 用户创建的 Hook 和 2014 年 5 月之前创建的 Hook不会受到影响。
- 组织拥有仓库的私有分支受组织访问权限限制的约束。
解决 SSH 访问失败
当 2014 年 2 月之前创建的 SSH 密钥失去对启用了 OAuth 应用访问权限限制的组织的访问权限时,后续的 SSH 访问尝试将失败。用户会遇到一条错误消息,该消息会将其引导到一个 URL,用户可以在该 URL 上批准密钥或上传可信密钥来代替。
Webhooks
在启用限制后,如果授予 OAuth 应用对组织的访问权限,则该 OAuth 应用创建的任何预先存在的 Webhook 将恢复调度。
当组织从先前批准的 OAuth 应用中删除访问权限时,该应用创建的任何预先存在的 Webhook 将不再调度(这些 Hook 将被禁用,但不会被删除)。
重新启用访问限制
如果组织禁用 OAuth 应用访问权限限制,然后再次启用它们,则先前批准的 OAuth 应用会自动获得对组织资源的访问权限。