À propos de l’authentification GitHub Actions
Si vous devez effectuer des requêtes d’API authentifiées dans un workflow GitHub Actions ou bien exécuter une action personnalisée nécessitant un jeton, utilisez le jeton intégré si possible. Toutefois, le système ne peut accéder qu’aux ressources qui se trouvent dans le dépôt du workflow. Si vous devez accéder à des ressources supplémentaires, telles que des ressources dans une organisation ou dans un autre dépôt, vous pouvez utiliser une GitHub App. Pour plus d’informations sur les situations où il est préférable d’utiliser une GitHub App au lieu d’un personal access token, consultez « AUTOTITLE ».
Authentification avec l'GitHub App
Si vous souhaitez utiliser une GitHub App pour effectuer des requêtes d’API authentifiées, vous devez inscrire une GitHub App, stocker les informations d’identification de l’application et installer l’application. Après cela, vous pouvez utiliser l’application pour créer un jeton d’accès d’installation avec lequel vous effectuerez les requêtes d’API authentifiées dans un workflow GitHub Actions. Vous pouvez également passer le jeton d’accès d’installation à une action personnalisée qui nécessite un jeton.
-
Enregistrer une GitHub App. Accordez à l’inscription d’GitHub App les autorisations requises pour accéder aux ressources souhaitées. Pour plus d’informations, consultez « AUTOTITLE » et « AUTOTITLE ».
-
Stockez l’ID d'application de votre GitHub App en tant que variable de configuration GitHub Actions. Vous trouverez l’ID de l’application dans la page de paramètres de votre application. L’ID d'application est différent de l’ID client. Pour plus d’informations sur la navigation vers la page des paramètres pour votre GitHub App, consultez « AUTOTITLE ». Pour plus d’informations concernant le stockage des variables de configuration, consultez « AUTOTITLE ».
-
Générez une clé privée pour votre application. Stockez le contenu du fichier obtenu dans un secret. (Stocker l'ensemble du contenu du fichier, y compris et .) Pour plus d’informations, consultez « AUTOTITLE ». Pour plus d’informations sur le stockage de secrets, consultez « AUTOTITLE ».
-
Installez l’GitHub App sur le bon compte et accordez-lui les autorisations et l'accès à tous les dépôts auxquels votre workflow doit accéder. Pour plus d’informations, consultez « AUTOTITLE ».
-
Dans votre workflow GitHub Actions, créez un jeton d’accès d’installation avec lequel vous pourrez effectuer les requêtes d’API.
Pour ce faire, vous pouvez utiliser une action appartenant à GitHub, comme le montre l'exemple suivant. Si vous préférez ne pas utiliser cette action, vous pouvez dupliquer et modifier l'action, ou vous pouvez écrire un script pour que votre flux de travail crée manuellement un jeton d'installation. Pour plus d’informations, consultez « AUTOTITLE ».
L’exemple de workflow suivant utilise l’action pour générer un jeton d’accès d’installation. Ensuite, le workflow utilise le jeton pour effectuer une requête d’API via GitHub CLI.
Dans le workflow suivant, remplacez par le nom de la variable de configuration dans laquelle vous avez stocké votre ID d'application. Remplacez par le nom du secret où vous avez stocké la clé privée de votre application.
on:
workflow_dispatch:
jobs:
demo_app_authentication:
runs-on: ubuntu-latest
steps:
- name: Generate a token
id: generate-token
uses: actions/create-github-app-token@v2
with:
app-id: ${{ vars.APP_ID }}
private-key: ${{ secrets.APP_PRIVATE_KEY }}
- name: Use the token
env:
GH_TOKEN: ${{ steps.generate-token.outputs.token }}
run: |
gh api octocat
on:
workflow_dispatch:
jobs:
demo_app_authentication:
runs-on: ubuntu-latest
steps:
- name: Generate a token
id: generate-token
uses: actions/create-github-app-token@v2
with:
app-id: ${{ vars.APP_ID }}
private-key: ${{ secrets.APP_PRIVATE_KEY }}
- name: Use the token
env:
GH_TOKEN: ${{ steps.generate-token.outputs.token }}
run: |
gh api octocat