Verwaltung erlaubter IP-Adressen für deine Organisation

Informationen zu zulässigen IP-Adressen

Standardmäßig können autorisierte Benutzer*innen von einer beliebigen IP-Adresse aus auf die Ressourcen deiner Organisation zugreifen. Du kannst den Zugriff auf die privaten Ressourcen deiner Organisation einschränken, indem du eine Liste konfigurierst, die den Zugriff von bestimmten IP-Adressen zulässt oder verweigert. Du kannst zum Beispiel festlegen, dass der Zugriff auf die privaten Ressourcen ausschließlich über die IP-Adresse deines Büronetzwerks erfolgen darf.

Nachdem Sie eine GitHub IP-Zulassungsliste konfiguriert haben, bestimmt die Liste, ob Benutzer oder Apps über die Web-UI, APIs oder Git auf geschützte Ressourcen zugreifen können, wenn sie eine der folgenden Authentifizierungsmethoden verwenden.

          **Interaktive (Web)-Authentifizierung:**

• Benutzerauthentifizierung, einschließlich der GitHub-Authentifizierung, der SAML-Authentifizierung und der OIDC-Authentifizierung

          **Nicht interaktive Authentifizierung:**
  

• Personal access token

• OAuth-App-Token

• SSH-Schlüssel (einschließlich der Deploy-Schlüssel und SSH-Schlüssel, die von GitHub Apps verwendet werden)

• GitHub App Benutzer-zu-Server- oder Installationstoken, einschließlich der GitHub ActionsGITHUB_TOKEN

  Hinweis

  IP-Zulassungslisten beschränken den Zugriff derzeit nicht, wenn eine GitHub App auf einem Benutzerkonto installiert ist und Server-zu-Server-Installationstoken für den Zugriff auf eine Organisation oder ein Unternehmen verwendet werden.

Die Liste zugelassener IP-Adressen gilt für Benutzerinnen mit beliebigen Rollen oder Zugriffsrechten, einschließlich Unternehmens- und Organisationsbesitzerinnen, Repositoryadministratorinnen und externen Mitarbeiterinnen.

Du kannst den Zugriff für eine einzelne IP-Adresse oder einen Adressbereich mithilfe der CIDR-Notation genehmigen. Weitere Informationen findest du unter CIDR-Notation in Wikipedia.

Welche Ressourcen sind geschützt?

IP-Zulassungslisten beschränken den Zugriff auf:

• Repositorys von Organisationen
• Private und interne Repositorys
• Öffentliche Ressourcen, falls ein Benutzer bei GitHub angemeldet ist (einschließlich nicht-interaktiver Authentifizierungsmethoden wie:
  • Personal access token
  • OAuth-App-Token
  • SSH-Schlüssel, einschließlich Bereitstellungsschlüssel
  • GitHub App Benutzer-zu-Server- oder Installationstoken, einschließlich der GitHub ActionsGITHUB_TOKEN

    Hinweis

    Ausschließen von Installationstoken, die von einer GitHub App verwendet werden, die auf einem Benutzerkonto installiert ist.

• Unformatierte URLs für Dateien in Repositorys, z. B. https://raw.githubusercontent.com/octo-org/octo-repo/main/README.md?token=ABC10001
• Repositories, einschließlich Forks, die verwaltete Benutzerkonten gehören, wenn aktiviert

IP-Zulassungslisten beschränken den Zugriff nicht auf:

• Öffentliche Ressourcen, wenn anonym auf sie zugegriffen wird
• Ein GitHub App (Server-zu-Server)-Installationstoken, wenn das GitHub App auf einem Benutzerkonto installiert ist.
• GitHub Copilot-Features, die nicht direkt private oder Organisationsdaten aus GitHub abrufen müssen
• Anonymisierte URLs für Bilder und Videos, die zu Issues oder Pull Requests hochgeladen werden, wie https://private-user-images.githubusercontent.com/10001/20002.png?jwt=ABC10001, es sei denn, du verwendest GitHub Enterprise-Cloud mit Datenresidenz

Informationen zur Verwaltung der Liste zugelassener IP-Adressen

Um die IP-Zulassungsliste zu erzwingen, musst Du der Liste zuerst IP-Adressen hinzufügen und danach die IP-Zulassungsliste aktivieren. Nachdem du deine Liste fertiggestellt hast, kannst du überprüfen, ob eine bestimmte IP-Adresse durch einen der aktivierten Einträge in der Liste zugelassen wird.

Du musst Deine aktuelle IP-Adresse oder einen passenden Adressbereich hinzufügen, bevor Du die Liste der zulässigen IP-Adressen aktivierst.

Wenn du eine Zulassungsliste einrichtest, kannst du auch festlegen, dass alle IP-Adressen, die für GitHub Apps konfiguriert sind und die du in deiner Organisation installierst, automatisch zu deiner Zulassungsliste hinzugefügt werden. Die Person, die eine GitHub App erstellt, kann eine Zulassungsliste für ihre Anwendung mit den IP-Adressen konfigurieren, an denen die Anwendung ausgeführt wird. Indem du deine Positivliste so konfigurierst, dass sie von dieser Positivliste erbt, vermeidest du, dass Verbindungsanforderungen von der Anwendung abgelehnt werden. Weitere Informationen findest du unter Zulassen des Zugriffs durch GitHub Apps.

Du kannst auch zulässige IP-Adressen auf Unternehmenskontoebene konfigurieren, und alle Organisationen im Besitz des Unternehmens erben die Einträge in der Zulassungsliste des Unternehmenskontos. Organisationsbesitzer können der Zulassungsliste für ihre Organisationen zusätzliche Einträge hinzufügen, aber sie können keine von der Zulassungsliste des Unternehmenskontos geerbten Einträge verwalten, und Unternehmensbesitzer können keine Einträge verwalten, die der Zulassungsliste der Organisation hinzugefügt wurden. Weitere Informationen finden Sie unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.

Beim Erstellen einer Liste zugelassener IP-Adressen sollten Sie als bewährte Methode darauf achten, einen sowohl sicheren als auch zuverlässigen Zugriff auf Ihre Unternehmens- und Organisationsressourcen zu gewährleisten.

• Aufrechterhaltung mehrerer Besitzer des Enterprise-Kontos oder der Organisation, für die die Liste zugelassener IP-Adressen erzwungen wird.
• Verwenden der CIDR-Notation zum Angeben eines Bereichs von IP-Adressen, die dynamisch zugewiesene Adressen enthalten, um die Anzahl der Einträge in die Zulassungsliste zu minimieren.
• Einschließen eines statischen Netzwerks in Ihre zulässigen IP-Adressen für den Sicherungszugriff bei Problemen.

Eine zugelassene IP-Adresse hinzufügen

Du kannst eine Liste zugelassener IP-Adressen erstellen, indem du Einträge hinzufügst, die jeweils eine IP-Adresse oder einen Adressbereich enthalten. Nachdem du Einträge hinzugefügt hast, kannst du überprüfen, ob eine bestimmte IP-Adresse durch einen der aktivierten Einträge in deiner Liste zugelassen wird.

Bevor die Liste den Zugriff auf private Ressourcen einschränkt, die Organisationen in Ihrem Unternehmen gehören, müssen Sie auch zulässige IP-Adressen aktivieren.

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Wählen Sie eine Organisation aus, indem Sie darauf klicken.

3. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

4. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentication security.

5. Gib unten im Abschnitt „Liste zugelassener IP-Adressen“ im Feld „IP-Adresse oder -Bereich in CIDR-Notation“ eine IP-Adresse oder einen Adressbereich in CIDR-Notation ein.

   

6. Gib optional im Feld „Kurze Beschreibung der IP-Adresse oder des IP-Bereichs“ eine Beschreibung der zulässigen IP-Adresse oder des zulässigen IP-Bereichs ein.

7. Klicke auf Add.

8. Optional kannst du überprüfen, ob eine bestimmte IP-Adresse durch einen der aktivierten Einträge in deiner Liste zugelassen wird. Weitere Informationen findest du unter Überprüfen, ob eine IP-Adresse zulässig ist.

Zugelassene IP-Adressen aktivieren

Nachdem du eine IP-Zulassungsliste erstellt hast, kannst du zulässige IP-Adressen aktivieren. Wenn du zulässige IP-Adressen aktivierst, erzwingt GitHub sofort alle aktivierten Einträge in deiner IP-Zulassungsliste.

Bevor du deine Liste zugelassener IP-Adressen aktivierst, kannst du überprüfen, ob deine Liste zugelassener IP-Adressen eine Verbindung von einer bestimmten IP-Adresse zulässt. Weitere Informationen findest du unter Überprüfen, ob eine IP-Adresse zulässig ist.

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Wählen Sie eine Organisation aus, indem Sie darauf klicken.

3. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

4. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentication security.

5. Wähle unter „Liste zugelassener IP-Adressen“ die Option Liste zugelassener IP-Adressen aktivieren aus.

6. Klicke auf Speichern.

Zulassen des Zugriffs durch GitHub Apps

Wenn du eine Zulassungsliste verwendest, kannst du auch festlegen, dass alle IP-Adressen, die für GitHub Apps konfiguriert sind und die du in deiner Organisation installierst, automatisch zu deiner Zulassungsliste hinzugefügt werden.

Wenn du in den Einstellungen deiner Positivliste die Option Konfiguration der IP-Positivliste für installierte GitHub Apps aktivieren auswählst, werden IP-Adressen von installierten GitHub Apps zu deiner Positivliste hinzugefügt. Dies geschieht unabhängig davon, ob deine Positivliste derzeit aktiviert ist. Wenn du eine GitHub App installierst und die Person, die diese App erstellt hat, die Adresse in ihrer Positivliste ändert, wird deine Liste automatisch mit den Änderungen aktualisiert.

Du kannst die IP-Adressen, die automatisch von GitHub Apps hinzugefügt wurden, anhand ihrer Beschreibung identifizieren. Die Beschreibung für diese IP-Adressen lautet: „Verwaltet durch die GitHub App NAME“. Im Gegensatz zu manuell hinzugefügten Adressen kannst du IP-Adressen, die automatisch von GitHub Apps hinzugefügt werden, nicht bearbeiten, löschen oder deaktivieren.

Weitere Informationen zum Erstellen einer Zulassungsliste für eine von dir erstellte GitHub App findest du unter Verwalten zulässiger IP-Adressen für eine GitHub App.

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Wählen Sie eine Organisation aus, indem Sie darauf klicken.

3. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

4. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentication security.

5. Wählen Sie unter "IP-Zulassungsliste" IP-Zulassungsliste-Konfiguration für installierte GitHub Apps aktivieren aus.

6. Klicke auf Speichern.

Eine zugelassene IP-Adresse bearbeiten

Du kannst einen Eintrag in deiner IP-Zulassungsliste bearbeiten. Wenn du einen aktivierten Eintrag bearbeitest, werden die Änderungen sofort wirksam.

Nachdem du die Bearbeitung von Einträgen abgeschlossen hast, kannst du nach der Aktivierung der Liste überprüfen, ob deine Liste zugelassener IP-Adressen eine Verbindung von einer bestimmten IP-Adresse zulässt.

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Wählen Sie eine Organisation aus, indem Sie darauf klicken.

3. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

4. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentication security.

5. Wähle unter „Liste zulässiger IP-Adressen“ neben dem zu bearbeitenden Eintrag die Option Bearbeiten aus.

6. Gib im Feld „IP-Adresse“ eine IP-Adresse oder einen Adressbereich in CIDR-Notation ein.

7. Gib im Feld „Beschreibung“ eine Beschreibung der zulässigen IP-Adressen oder des zulässigen Bereichs ein.

8. Klicke auf Aktualisieren.

9. Optional kannst du überprüfen, ob eine bestimmte IP-Adresse durch einen der aktivierten Einträge in deiner Liste zugelassen wird. Weitere Informationen findest du unter Überprüfen, ob eine IP-Adresse zulässig ist.

Überprüfen der Zulässigkeit einer IP-Adresse

Du kannst überprüfen, ob eine bestimmte IP-Adresse von aktivierten Einträgen in deiner IP-Positivliste zugelassen würde, selbst wenn die Liste derzeit nicht aktiviert ist.

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Wählen Sie eine Organisation aus, indem Sie darauf klicken.

3. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

4. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentication security.

5. Gib am Ende des Abschnitts „IP-Zulassungsliste“ unter „IP-Adresse überprüfen“ eine IP-Adresse ein.

   

Eine zugelassene IP-Adresse löschen

1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

2. Wählen Sie eine Organisation aus, indem Sie darauf klicken.

3. Klicke unter dem Organisationsnamen auf Settings. Wenn die Registerkarte „Einstellungen“ nicht angezeigt wird, wähle im Dropdownmenü die Option Einstellungen aus.

   

4. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentication security.

5. Wähle unter „Liste zulässiger IP-Adressen“ neben dem zu löschenden Eintrag die Option Löschen aus.

6. Um den Eintrag endgültig zu löschen, klicke auf Ja, diesen Eintrag der IP-Positivliste löschen.

GitHub Actions mit einer IP-Erlaubnisliste verwenden

Damit deine selbstgehosteten oder größeren gehosteten Runnern mit GitHub kommunizieren können, fügst du die IP-Adresse oder den IP-Adressbereich deiner Runner in der Liste zugelassener IP-Adressen hinzu, die du für dein Unternehmen konfiguriert hast.

GitHub Pages mit einer IP-Zulassungsliste verwenden

Wenn Sie einen benutzerdefinierten GitHub Actions-Workflow als Veröffentlichungsquelle für Ihre GitHub Pages-Webseite verwenden, müssen Sie eine Regel für Ihre Liste zugelassener IP-Adressen konfigurieren, damit der Runner eine Verbindung herstellen und die Site erstellen kann.

Wenn Sie keinen benutzerdefinierten Workflow verwenden, hat der Build-Runner standardmäßig Zugriff auf das Repository für die GitHub Pages-Webseite. Weitere Informationen zu Veröffentlichungsquellen findest du unter Konfigurieren einer Veröffentlichungsquelle für die eigene GitHub Pages-Website.