GitHub AppsとOAuth appsについて
通常、GitHub Apps が OAuth apps より優先されます。 GitHub Apps では、きめ細かいアクセス許可が使われ、アプリでアクセスできるリポジトリをより細かく制御でき、有効期間の短いトークンが使われます。 これらの特徴により、アプリの資格情報が漏洩した場合に発生する可能性のある損害を制限することで、アプリのセキュリティを強化できます。
OAuth apps と同様に、GitHub Apps でも引き続き OAuth 2.0 を使って、OAuth トークンの種類 (別名、ユーザー アクセス トークン) を生成し、ユーザーに代わってアクションを実行できます。 ただし、GitHub Apps は、ユーザーとは関係なく動作することもできます。 これは、ユーザー入力を必要としない自動化に役立ちます。 アプリを Organization にインストールしたユーザーが Organization からいなくなった場合でも、アプリは引き続き機能します。
GitHub Apps には、一元化された Webhook が組み込まれています。 GitHub Apps は、アプリでアクセスできるすべてのリポジトリおよび組織の Webhook イベントを受け取ることができます。 逆に、OAuth apps では、リポジトリと組織ごとに個別に Webhook を構成する必要があります。
インストール アクセス トークンを使う GitHub Apps のレート制限は、リポジトリの数と組織のユーザーの数に応じてスケーリングされます。 逆に、OAuth apps のレート制限は低く、スケーリングされません。
GitHub App より OAuth app の方が推奨されるケースが 1 つあります。 Enterprise オブジェクトなど、Enterprise レベルのリソースにアプリからアクセスする必要がある場合、GitHub App ではまだ Enterprise に対してアクセス許可を付与できないため、OAuth app を使う必要があります。 GitHub Apps では、エンタープライズが所有する組織とリポジトリ リソースに引き続きアクセスできます。
GitHub Apps の詳細については、「GitHub アプリの作成について」を参照してください。
既存の OAuth app の GitHub App への移行の詳細については、「OAuth アプリを GitHub Apps に移行する」を参照してください。
GitHub App をインストールし、OAuth apps を承認することができるのは誰ですか?
GitHubアプリは、所有している個人アカウントまたは組織にインストールできます。 リポジトリに管理者アクセス許可がある場合は、GitHub Apps を組織のアカウントにインストールできます。 GitHub アプリがリポジトリにインストールされていて、組織のアクセス許可が必要な場合は、組織の所有者がアプリケーションを承認する必要があります。
デフォルトでは、Organization内のGitHub Appsの設定を管理できるのはOrganizationのオーナーだけです。 組織が所有する GitHub Apps の開発者設定を追加ユーザーが変更できるようにするため、所有者は GitHub App マネージャーのアクセス許可を付与できます。 GitHub App マネージャーは、サード パーティのアプリケーションを管理できません。 Organization での GitHub App マネージャーの追加と削除の詳細については、「組織の役割」を参照してください。
一方、ユーザーが OAuth appsを承認すると、認証されたユーザーとして動作する機能がアプリに提供されます。 たとえば、認証済みのユーザーに対するすべての通知を検索する OAuth appを承認できます。 アクセス許可は、OAuth appからいつでも取り消すことができます。
Organization の所有者は、外部コラボレーターが承認されていない OAuth apps と GitHub Apps へのアクセスを要求できるようにするかどうかを選べます。 詳しくは、「OAuth アプリと GitHub アプリのアクセス要求とインストールの制限」をご覧ください。
警告
OAuth app からすべてのアクセス許可を取り消すと、ユーザーの代わりにアプリケーションで生成されたすべての SSH キー (配置キーを含む) が削除されます。
| GitHub アプリ | OAuth apps |
|---|---|
| GitHub アプリを組織にインストールするには、組織の所有者であるか、リポジトリの管理者アクセス許可が必要です。 GitHub アプリがリポジトリにインストールされていて、組織のアクセス許可が必要な場合は、組織の所有者がアプリケーションを承認する必要があります。 | OAuth appにリソースへのアクセス権を承認できます。 |
| 個人用リポジトリにGitHub アプリをインストールできます。 | OAuth appにリソースへのアクセス権を承認できます。 |
| GitHub アプリをアンインストールしてそのアクセス権を削除するには、組織の所有者、個人用リポジトリの所有者、またはリポジトリの管理者権限が必要です。 | OAuth アクセストークンを削除して、アクセス権限を削除することができます。 |
| GitHubアプリのインストールを要求するには、組織の所有者であるか、リポジトリの管理者権限を持っている必要があります。 | Organization のアプリケーション ポリシーが有効な場合、その Organization のすべてのメンバーが、Organization への OAuth appのインストールを要求できます。 Organization のオーナーは、その要求を承認または拒否する必要があります。 |
GitHub App と OAuth apps は、何にアクセスできますか?
アカウントの所有者は、別のアカウントにアクセス権限を与えることなく GitHub App を使用できます。 たとえば、サードパーティ製のビルドサービスを従業員の Organization にインストールしつつ、そのビルドサービスに個人アカウントにあるリポジトリへのアクセスを許可しないことができます。 GitHub アプリを設定したユーザーが組織を離れた場合、アプリはインストールされたままです。
"承認済み" の OAuth appには、ユーザーまたは Organization の所有者がアクセス可能なすべてのリソースへのアクセス権があります。__
| GitHub アプリ | OAuth apps |
|---|---|
| GitHub アプリをインストールすると、ユーザーまたは組織アカウントの選択したリポジトリへのアクセス権がアプリに付与されます。 | OAuth appを承認すると、ユーザーがアクセスできるリソースへのアクセスがアプリに付与されます。 たとえば、リポジトリにアクセスできます。 |
| 管理者がインストールからリポジトリを削除すると、GitHub アプリからのインストール トークンはリソースへのアクセスを失います。 | リポジトリへの書き込みアクセスを失ったときなど、ユーザがアクセスを失ったとき、OAuth アクセストークンはリソースにアクセスできなくなります。 |
| インストール アクセス トークンは、アプリケーションの作成者が選択したアクセス許可を所有する、指定されたリポジトリに制限されます。 | OAuth アクセス トークンは、スコープで制限されます。 |
| GitHubアプリは、リポジトリの実際のコンテンツにアクセスすることなく、問題への個別のアクセスと pull request を要求できます。 | OAuth appsは、課題、プルリクエスト、その他リポジトリが所有するもの全てにアクセスするために、repo スコープを要求する必要があります。 |
| GitHub アプリは、組織のアプリケーション ポリシーの対象になりません。 GitHub アプリは、組織の所有者が付与したリポジトリにのみアクセスできます。 | Organization のアプリケーション ポリシーがアクティブな場合、Organization の所有者のみが OAuth appのインストールを認可できます。 インストールされている場合、OAuth app は、承認された組織内で組織の所有者のトークンを通じて表示できるすべてのものにアクセスできます。 |
| GitHub アプリは、インストールが変更または削除されたときに Webhook イベントを受け取ります。 これにより、アプリの作成者は、組織のリソースへのアクセス権が増減されたことがわかります。 | OAuth appsは、許可ユーザーのアクセス権が変更されると、それに基づき、組織やリポジトリへのアクセス権を失う場合があります。 リソースへのアクセスを失った場合、OAuth appにより通知はされません。 |
トークンベースの識別
メモ
GitHub Apps では、ユーザー ベースのトークンを使用することもできます。 詳しくは、「ユーザーに代わってGitHub アプリで認証する」をご覧ください。
| GitHub アプリ | OAuth apps |
|---|---|
| GitHub アプリは、JSON Web トークン形式の帯域外の秘密キーを使用して、インストール アクセス トークンを要求できます。 | OAuth appは、Web リクエストを通じたリダイレクトの後に要求トークンをアクセス トークンに交換できます。 |
| インストール トークンは、@jenkins-bot など、アプリを GitHub Apps ボットとして識別します。 | アクセス トークンは、アプリをそのアプリにトークンを付与したユーザー (@octocat など) として識別します。 |
| インストール アクセス トークンは、事前に定義された時間 (現在は 1 時間) が経過すると期限切れになります。 | OAuth トークンは、顧客によって取り消されるまで有効となります。 |
| Organization またはリポジトリにインストールされた GitHub Appsは、インストール数に応じてスケーリングされるレート制限の対象となります。 詳しくは、「GitHub アプリのレート制限」をご覧ください。 | OAuth トークンでは、1 時間あたり要求 5,000 件というユーザーのレート制限が使用されます。 |
| レート制限の引き上げは、GitHub アプリ レベル (すべてのインストールに影響を与える) と個々のインストール レベルの両方で付与できます。 | レート制限の引き上げは、OAuth appごとに付与されます。 その OAuth appに付与されたすべてのトークンの制限が引き上げられます。 |
| GitHub Apps では、ユーザーの代わりに認証を行うことができます。 認可するフローは OAuth app の認可フローと同じです。 ユーザー アクセス トークンは期限切れになることがあり、更新トークンで更新できます。 詳細については、「ユーザー アクセス トークンを更新する」および「ユーザーに代わってGitHub アプリで認証する」を参照してください。 | OAuth apps により使用される OAuth フローでは、ユーザの代わりに OAuth app を承認します。 これは、GitHub App ユーザー アクセス トークンの生成に使用されるフローと同じです。 |
リソースに対する権限レベルのリクエスト
OAuth apps と異なり、GitHub App には必要なアクセス権のみをリクエストできる、ターゲットを絞った権限があります。 たとえば、継続的インテグレーション (CI) GitHub App では、リポジトリ コンテンツへの読み取りアクセスを要求したり、状態 API への書き込みアクセスを要求したりできます。 別のGitHub アプリは、コードへの読み取りまたは書き込みアクセス権を持つ必要はありませんが、問題、ラベル、マイルストーンを管理できます。 OAuth appsでは詳しいアクセス許可は使えません。
| アクセス | GitHub Apps (read または write アクセス許可) | OAuth apps |
|---|
**パブリック リポジトリへのアクセス** | パブリックリポジトリはインストール中に選択する必要があります。 |
`public_repo` スコープ。 |
|
リポジトリ コード/コンテンツへのアクセス | リポジトリコンテンツ |
repo スコープ。 |
|
イシュー、ラベル、マイルストーンへのアクセス | 問題 |
repo スコープ。 |
|
プル リクエスト、ラベル、マイルストーンへのアクセス | Pull Request |
repo スコープ。 |
|
(CI ビルドの) コミットの状態へのアクセス | コミットのステータス |
repo:status スコープ。 |
|
デプロイメントおよびデプロイメントの状況へのアクセス | デプロイメント |
repo_deployment スコープ。 |
|
Webhook 経由によるイベントの受信 | GitHub アプリには、既定で webhook が含まれています。 |
write:repo_hook または write:org_hook スコープ。 |
リポジトリの確認
| GitHub アプリ | OAuth apps |
|---|---|
GitHub Apps では、/installation/repositories を確認して、インストールでアクセスできるリポジトリを確認できます。 | OAuth apps では、アクセス可能なリポジトリの /user/repos (ユーザー ビューの場合) または/orgs/:org/repos (組織ビューの場合) を参照できます。 |
| GitHubアプリは、リポジトリがインストールに追加または削除されたときに Webhook を受け取ります。 | OAuth appsでは、組織内に新しいリポジトリが作成されたときに通知用の組織 Webhook が作成されます。 |
Webhooks(ウェブフック)
| GitHub アプリ | OAuth apps |
|---|---|
| 既定では、GitHub Apps には、アクセス権を持つすべてのリポジトリに対して受信するように構成されているイベントを受信する単一の Webhook があります。 | OAuth appsは、イベントを受信する必要がある各リポジトリのリポジトリ Webhook を作成するため、Webhook スコープを要求します。 |
| GitHub アプリは、組織のメンバーのアクセス許可を持つ特定の組織レベルのイベントを受け取ります。 | OAuth apps は、organization (組織) レベルのイベントを受信する必要がある各 organization (組織) に対し、organization (組織) webhook を作成するため organization (組織) webhook スコープをリクエストします。 |
| GitHub アプリがアンインストールされると、Webhook は自動的に無効になります。 | OAuth appのアクセス トークンが削除される場合、Webhook は自動的に無効にならず、それらを自動的にクリーンアップする方法はありません。 手動で行うようにユーザーに依頼する必要があります。 |
Git にアクセス
| GitHub アプリ | OAuth apps |
|---|---|
| GitHub Apps はリポジトリ コンテンツのアクセス許可を要求し、インストール アクセス トークンを使用して HTTP ベースの Git 経由で認証します。 詳細については、「GitHub アプリのインストール アクセス トークンの生成」を参照してください | OAuth apps は、write:public_key スコープを要求し、API を介してデプロイ キーを作ります。 その後、そのキーを使用して Git コマンドを実行できます。 |
| トークンは、HTTP パスワードとして使用されます。 | トークンは、HTTP ユーザ名として使用されます。 |
マシンアカウントとボットアカウントの比較
マシン ユーザー アカウントは、GitHubのユーザー システムを使用して自動システムを分離する OAuth ベースの個人アカウントです。
ボット アカウントは GitHub Apps に固有であり、すべてのGitHub アプリに組み込まれています。
| GitHub アプリ | OAuth apps |
|---|---|
| GitHub App ボットは、GitHub Enterprise シート を使用しません。 | マシン ユーザー アカウントは、GitHub Enterprise シートを使用します。 |
| GitHub アプリ ボットにはパスワードが付与されないため、顧客は直接サインインできません。 | マシンユーザアカウントには、ユーザ名およびパスワードが付与されます。顧客はそれらを管理および保護します。 |