Aplicar políticas sobre los ajustes de seguridad en tu empresa

Puedes requerir políticas para administrar los ajustes de seguridad en las organizaciones de tu empresa o permitir que se configuren políticas en cada organización.

¿Quién puede utilizar esta característica?

Enterprise owners can enforce policies for security settings in an enterprise.

En este artículo

Acerca de las políticas para los ajustes de seguridad en tu empresa

Puedes requerir políticas para controlar los ajustes de seguridad para las organizaciones que le pertenecen a tu empresa. Predeterminadamente, los propietarios de organización pueden administrar los ajustes de seguridad.

Requerir autenticación bifactorial para las organizaciones de tu empresa

Nota:

A partir de marzo de 2023, GitHub exigió que todos los usuarios que contribuyan con código en GitHub.com habiliten una o varias formas de autenticación en dos fases (2FA). Si estaba en un grupo elegible, habría recibido un correo electrónico de notificación cuando ese grupo fue seleccionado para la inscripción, marcando el comienzo de un período de inscripción 2FA de 45 días, y vería banners que le pedirán que se inscribiese en 2FA en GitHub.com. Si no recibió una notificación, no formaba parte de un grupo al que se le exige que habilite 2FA, aunque se recomienda encarecidamente.

Para obtener más información sobre el lanzamiento de la inscripción 2FA, consulta esta entrada de blog.

          Enterprise pueden requerir que los miembros de la organización, los administradores de facturación y los colaboradores externos de todas las organizaciones que pertenecen a una empresa usen la autenticación en dos fases para proteger sus cuentas de usuario. Esta directiva no está disponible para empresas con usuarios administrados.

Antes de poder exigir la autenticación en dos fases en todas las organizaciones que pertenezcan a tu empresa, debes habilitarla en tu propia cuenta. Para más información, consulta Asegurar tu cuenta con autenticación de dos factores (2FA).

Antes de solicitar el uso de la autenticación de dos factores, te recomendamos notificar a los miembros de la organización, a los colaboradores externos y a los gerentes de facturación y pedirles que configuren la 2FA para sus cuentas. Los propietarios de la organización pueden ver si los miembros y los colaboradores externos ya usan la autenticación en dos fases en la página "People" de cada organización. Para más información, consulta Ver si los usuarios en tu organización han habilitado 2FA.

Advertencia

  • Cuando se requiere la autenticación en dos fases para su empresa, los colaboradores externos (incluidas las cuentas de bot) en todas las organizaciones que pertenecen a su empresa que no usan 2FA se quitarán de la organización y perderán el acceso a sus repositorios. También perderán acceso a las bifurcaciones de sus repositorios privados de la organización. Puedes restablecer sus privilegios y configuración de acceso si habilitan la autenticación en dos fases en sus cuentas en un plazo de tres meses de su eliminación de la organización. Para más información, consulta Restablecer a un miembro anterior de su organización.
  • Cualquier colaborador externo de cualquiera de las organizaciones propiedad de su empresa que deshabilite 2FA para su cuenta después de habilitar la autenticación en dos fases necesaria se quitará automáticamente de la organización. Los miembros de facturación que deshabilitan 2FA no podrán acceder a los recursos de la organización hasta que vuelvan a habilitarlos.
  • Si eres el único propietario de una empresa que exige la autenticación en dos fases, no podrás deshabilitarla para tu cuenta de usuario sin deshabilitar la autenticación en dos fases obligatoria para la empresa.

Nota:

Algunos de los usuarios de sus organizaciones pueden haber sido seleccionados para la inscripción obligatoria de autenticación de dos factores por GitHub.com, pero no tiene ningún impacto en cómo configurar el requisito de 2FA para sus organizaciones empresariales. Si habilita el requisito de 2FA para las organizaciones de su empresa, los colaboradores externos sin 2FA habilitados actualmente se quitarán de las organizaciones, incluidos los necesarios para habilitarlo mediante GitHub.com.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haz clic en Settings.

  3. En Configuración, haz clic en Seguridad de autenticación.

  4. En "Autenticación de dos factores", revisa la información sobre cómo modificar los parámetros. De manera opcional, para ver la configuración actual en todas las organizaciones de la cuenta de empresa antes de cambiar el valor, haz clic en View your organizations' current configurations.

    Captura de pantalla de una directiva en la configuración de la empresa. Un vínculo con la etiqueta "Ver las configuraciones actuales de las organizaciones" está resaltado.

  5. En "Two-factor authentication", selecciona Require two-factor authentication for the enterprise and all of its organizations y, a continuación, haz clic en Save.

  6. Si se solicita, lee la información sobre cómo el acceso de usuario a los recursos de la organización se verá afectado por el requisito de la autenticación en dos fases. Haz clic en Confirm para confirmar el cambio.

  7. Opcionalmente, si se colaboradores externos de las organizaciones que pertenecen a su empresa, se recomienda enviarles una invitación para restablecer sus privilegios anteriores y el acceso a su organización. Cada persona debe habilitar la autenticación en dos fases para poder aceptar tu invitación.

Requerimiento de métodos seguros de autenticación en dos fases para las organizaciones en tu empresa

Además de exigir la autenticación en dos fases, los propietarios de empresa pueden requerir que los miembros de la organización, los administradores de facturación y los colaboradores externos de todas las organizaciones pertenecientes a una empresa usen métodos seguros de autenticación en dos fases. Los métodos seguros de dos fases son claves de acceso, claves de seguridad, aplicaciones autenticadoras y la aplicación móvil GitHub. A los usuarios que no tengan configurado un método seguro de autenticación en dos fases o cuyo método configurado no sea seguro se les impedirá que accedan a los recursos de cualquier organización perteneciente a una empresa. Esta directiva no está disponible para las empresas con usuarios administrados.

Antes de solicitar métodos seguros de autenticación en dos fases, te recomendamos informar a los miembros de la organización, a los colaboradores externos y a los administradores de facturación y pedirles que configuren la autenticación en dos fases segura para sus cuentas. Los propietarios de la organización pueden ver si los miembros y los colaboradores externos ya usan métodos seguros de autenticación en dos fases en la página "People" de cada organización. Para más información, consulta Ver si los usuarios en tu organización han habilitado 2FA.

  1. En "Two-factor authentication", selecciona Require two-factor authentication for the enterprise and all of its organizations y Only allow secure two-factor methods y, a continuación, haz clic en Save.
  2. Si se solicita, lee la información sobre cómo el acceso del usuario a los recursos de la organización se verá afectado por el requisito de los métodos de autenticación en dos fases. Haz clic en Confirm para confirmar el cambio.
  3. Opcionalmente, si algún colaborador externo se elimina de las organizaciones que son propiedad de tu empresa, también te recomendamos enviarle una invitación para que restablezca sus antiguos privilegios y el acceso a tu organización. Cada persona debe habilitar la autenticación en dos fases con un método seguro para poder aceptar la invitación.

Administrar las autoridades de certificados SSH en tu empresa

Puedes utilizar una autoridad de certificados SSH (CA) para permitir que los miembros de cualquier organización que pertenezca a tu empresa accedan a los repositorios de esta utilizando certificados SSH que tu proporciones.

          Si su empresa usa Enterprise Managed Users, usen el certificado para acceder a repositorios de propiedad personal. 
          Puedes solicitar que los miembros usen certificados SSH para acceder a los recursos de la organización. Para obtener más información, consulte [AUTOTITLE](/organizations/managing-git-access-to-your-organizations-repositories/about-ssh-certificate-authorities).

          GitHub usa certificados de usuario SSH con formato OpenSSH para autenticar las operaciones de Git a través de SSH validando la firma y los campos del certificado (incluido su período de validez) en una entidad de certificación (CA) SSH de confianza configurada en el nivel de organización o de empresa.

Cuando emites cada certificado de cliente, debes incluir una extensión que especifique para qué usuario de GitHub es el certificado. Para más información, consulta Acerca de las autoridades de certificación de SSH.

Agregar una autoridad de certificado de SSH

Si requieres certificados SSH para tu empresa, los miembros empresariales deberán utilizar una URL especial para las operaciones de Git por SSH. Para más información, consulta Acerca de las autoridades de certificación de SSH.

Cada entidad de certificación solo se puede cargar en una cuenta en GitHub. Si se ha agregado una entidad de certificación SSH a una cuenta de organización o de empresa, no puedes agregar la misma entidad de certificación a otra cuenta de organización o de empresa en GitHub.

Si agregas una entidad de certificación a una empresa y otra entidad de certificación a una organización de la empresa, se puede usar cualquiera de las entidades de certificación para acceder a los repositorios de la organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haz clic en Settings.

  3. En Configuración, haz clic en Seguridad de autenticación.

  4. A la derecha de "Entidades de certificación SSH", haga clic en Nueva CA.

  5. Debajo de "Llave", pega tu llave SSH pública.

  6. Haga clic en Agregar etiqueta.

  7. Opcionalmente, para exigir que los miembros usen certificados SSH, seleccione Exigir certificados SSH y, después, haga clic en Guardar.

    Nota:

    Cuando se exijan certificados SSH, los usuarios no podrán autenticarse para acceder a los repositorios de la organización a través de HTTPS o con una clave SSH sin firmar, independientemente de si la clave SSH está autorizada para una organización que exige autenticación mediante un sistema de identidad externo.

    El requisito no se aplica a GitHub Apps autorizadas (incluidos los tokens de usuario a servidor), la implementación de claves ni a características de GitHub como GitHub Actions y Codespaces, que son entornos de confianza dentro del ecosistema GitHub.

Administración del acceso a repositorios propiedad del usuario

Puede habilitar o deshabilitar el acceso a repositorios propiedad del usuario con un certificado SSH si la empresa usa cuentas de usuario administradas. Sin embargo, si la empresa usa cuentas personales en GitHub.com los miembros no pueden usar el certificado para acceder a repositorios de propiedad personal.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Settings.
  3. En Configuración, haz clic en Seguridad de autenticación.
  4. En "SSH Certificate Authorities" (Entidades de certificación SSH), seleccione la casilla Access User Owned Repository (Acceso al repositorio propiedad del usuario).

Eliminar una autoridad de certificado de SSH

No se puede deshacer la eliminación de una entidad de certificación (CA) SSH de la configuración GitHub empresarial. Si quiere volver a confiar en la misma entidad de certificación en el futuro, deberá agregar nuevamente la entidad de certificación a GitHub subiendo otra vez la clave pública de la misma en la configuración de la autoridad de certificados SSH de tu empresa.

La eliminación de una ENTIDAD de certificación impide GitHub inmediatamente aceptar certificados SSH firmados por esa ENTIDAD de certificación, incluidos los certificados que aún no han expirado. Para obtener instrucciones sobre la rotación de CA, consulte Acerca de las autoridades de certificación de SSH.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Settings.
  3. En Configuración, haz clic en Seguridad de autenticación.
  4. En "Entidades de certificación SSH", a la derecha de la entidad de certificación que quiera eliminar, haga clic en Eliminar.
  5. Lea la advertencia y, después, haga clic en Entiendo, eliminar esta CA.

Actualizar una autoridad de certificación SSH

Las CA cargadas en su empresa antes del 27 de marzo de 2024, , permiten el uso de certificados que no expiran. Para obtener más información sobre por qué las expiraciones ahora son necesarias para las nuevas CA, consulta Acerca de las autoridades de certificación de SSH. Puede actualizar una entidad de certificación existente para evitar que emita certificados que no expiren. Para obtener la mejor seguridad, se recomienda encarecidamente actualizar todas las CA una vez que valide que no depende de los certificados que no expiren.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Settings.
  3. En Configuración, haz clic en Seguridad de autenticación.
  4. En "Entidades de certificación SSH", a la derecha de la entidad de certificación que quiera actualizar, haga clic en Actualizar.
  5. Lea la advertencia y haga clic en Actualizar.

Después de actualizar la entidad de certificación, se rechazarán los certificados que no expiran firmados por esa entidad de certificación.

Administración del inicio de sesión único para usuarios no autenticados

Nota:

La redirección automática de los usuarios para iniciar sesión se encuentra actualmente en versión preliminar pública para Enterprise Managed Users y está sujeta a cambios.

Si su empresa usa Enterprise Managed Users, puede elegir qué usuarios no autenticados ven al intentar acceder a los recursos de la empresa. Para obtener más información sobre Enterprise Managed Users, consulta Acerca de Enterprise Managed Users.

De forma predeterminada, para ocultar la existencia de recursos privados, cuando un usuario no autenticado intenta acceder a la empresa, GitHub muestra un error 404.

Para evitar confusiones entre los desarrolladores, puedes cambiar este comportamiento habilitando la opción "Redirigir automáticamente a los usuarios al inicio de sesión" para que los usuarios se redirijan automáticamente al inicio de sesión único (SSO) a través de tu proveedor de identidades (IdP). Al habilitar esta configuración, cualquier persona que visite la dirección URL de cualquiera de los recursos de la empresa podrá ver que el recurso existe. Sin embargo, solo podrán ver el recurso si tienen el acceso adecuado después de autenticarse con el proveedor de identidades.

La configuración de esta configuración también afecta a Enterprise Managed Users quién usa el Administrador de credenciales de Git (GCM). Para obtener más información, consulta el Repositorio git-credential-manager

Si "Redirigir automáticamente a los usuarios para iniciar sesión" está habilitado, GitHub envía las sugerencias de servidor que permiten que GCM filtre automáticamente las cuentas de los miembros de la empresa. Si la configuración está deshabilitada, los usuarios que usan GCM deben desactivar el filtrado de cuentas localmente en GCM para evitar que se les pida autenticación cada vez que realicen una operación de Git. Para más detalles, consulta Almacenamiento en caché de las credenciales de GitHub en Git.

Nota:

Si un usuario ha iniciado sesión en su cuenta personal al intentar acceder a cualquiera de los recursos de su empresa, se cerrará la sesión automáticamente y será redirigido a SSO para iniciar sesión en su cuenta de usuario administrada. Para más información, consulta Administración de varias cuentas.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Identity provider.
  3. En Identity Provider, haz clic en Single sign-on configuration.
  4. En "Configuración de inicio de sesión único", selecciona o anula la selección de Redirigir automáticamente a los usuarios para iniciar sesión.

Información adicional