Aplicar políticas sobre los ajustes de seguridad en tu empresa

Puedes requerir políticas para administrar los ajustes de seguridad en las organizaciones de tu empresa o permitir que se configuren políticas en cada organización.

¿Quién puede utilizar esta característica?

Enterprise owners can enforce policies for security settings in an enterprise.

En este artículo

Acerca de las políticas para los ajustes de seguridad en tu empresa

Puedes requerir políticas para controlar los ajustes de seguridad para las organizaciones que le pertenecen a tu empresa. Predeterminadamente, los propietarios de organización pueden administrar los ajustes de seguridad.

Requerir autenticación bifactorial para las organizaciones de tu empresa

          Si tu instancia de GitHub Enterprise Server usa LDAP o autenticación integrada, los propietarios de enterprise pueden requerir que los miembros de la organización, los administradores de facturación y los colaboradores externos de todas las organizaciones que pertenecen a una empresa usen la autenticación en dos fases para proteger sus cuentas de usuario.

Antes de poder exigir la autenticación en dos fases en todas las organizaciones que pertenezcan a tu empresa, debes habilitarla en tu propia cuenta. Para más información, consulta Asegurar tu cuenta con autenticación de dos factores (2FA).

Antes de solicitar el uso de la autenticación de dos factores, te recomendamos notificar a los miembros de la organización, a los colaboradores externos y a los gerentes de facturación y pedirles que configuren la 2FA para sus cuentas. Los propietarios de la organización pueden ver si los miembros y los colaboradores externos ya usan la autenticación en dos fases en la página "People" de cada organización. Para más información, consulta Ver si los usuarios en tu organización han habilitado 2FA.

La comprobación de códigos de autenticación en dos fases requiere una hora precisa en el dispositivo y el servidor del cliente. Los administradores del sitio deben asegurarse de que la sincronización de hora está configurada y es precisa. Para más información, consulta Configuración de la sincronización de la hora

Advertencia

  • Cuando se requiere la autenticación en dos fases para su empresa, los miembros y los colaboradores externos (incluidas las cuentas de bot) en todas las organizaciones que pertenecen a su empresa que no usan 2FA se quitarán de la organización y perderán el acceso a sus repositorios. También perderán acceso a las bifurcaciones de sus repositorios privados de la organización. Puedes restablecer sus privilegios y configuración de acceso si habilitan la autenticación en dos fases en sus cuentas en un plazo de tres meses de su eliminación de la organización. Para más información, consulta Restablecer a un miembro anterior de su organización.
  • Cualquier miembro o colaborador externo de cualquiera de las organizaciones propiedad de su empresa que deshabilite 2FA para su cuenta después de habilitar la autenticación en dos fases necesaria se quitará automáticamente de la organización. Los miembros y los administradores de facturación que deshabilitan 2FA no podrán acceder a los recursos de la organización hasta que vuelvan a habilitarlos.
  • Si eres el único propietario de una empresa que exige la autenticación en dos fases, no podrás deshabilitarla para tu cuenta de usuario sin deshabilitar la autenticación en dos fases obligatoria para la empresa.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.

  2. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Settings.

  3. En Configuración, haz clic en Seguridad de autenticación.

  4. En "Autenticación de dos factores", revisa la información sobre cómo modificar los parámetros. De manera opcional, para ver la configuración actual en todas las organizaciones de la cuenta de empresa antes de cambiar el valor, haz clic en View your organizations' current configurations.

    Captura de pantalla de una directiva en la configuración de la empresa. Un vínculo con la etiqueta "Ver las configuraciones actuales de las organizaciones" está resaltado.

  5. En "Two-factor authentication", selecciona Require two-factor authentication for the enterprise and all of its organizations y, a continuación, haz clic en Save.

  6. Si se solicita, lee la información sobre cómo el acceso de usuario a los recursos de la organización se verá afectado por el requisito de la autenticación en dos fases. Haz clic en Confirm para confirmar el cambio.

  7. Opcionalmente, si se quitan miembros o colaboradores externos de las organizaciones que pertenecen a su empresa, se recomienda enviarles una invitación para restablecer sus privilegios anteriores y el acceso a su organización. Cada persona debe habilitar la autenticación en dos fases para poder aceptar tu invitación.

Administrar las autoridades de certificados SSH en tu empresa

Puedes utilizar una autoridad de certificados SSH (CA) para permitir que los miembros de cualquier organización que pertenezca a tu empresa accedan a los repositorios de esta utilizando certificados SSH que tu proporciones.

          también se puede permitir que los miembros de enterprise usen el certificado para acceder a repositorios de propiedad personal. 
          Puedes solicitar que los miembros usen certificados SSH para acceder a los recursos de la organización, a menos que SSH esté deshabilitado en tu repositorio. Para obtener más información, consulte [AUTOTITLE](/organizations/managing-git-access-to-your-organizations-repositories/about-ssh-certificate-authorities).

          GitHub usa certificados de usuario SSH con formato OpenSSH para autenticar las operaciones de Git a través de SSH validando la firma y los campos del certificado (incluido su período de validez) en una entidad de certificación (CA) SSH de confianza configurada en el nivel de organización o de empresa.

Cuando emites cada certificado de cliente, debes incluir una extensión que especifique para qué usuario de GitHub es el certificado. Para más información, consulta Acerca de las autoridades de certificación de SSH.

Agregar una autoridad de certificado de SSH

Si requieres certificados SSH para tu empresa, los miembros empresariales deberán utilizar una URL especial para las operaciones de Git por SSH. Para más información, consulta Acerca de las autoridades de certificación de SSH.

Cada entidad de certificación solo se puede cargar en una cuenta en GitHub. Si se ha agregado una entidad de certificación SSH a una cuenta de organización o de empresa, no puedes agregar la misma entidad de certificación a otra cuenta de organización o de empresa en GitHub.

Si agregas una entidad de certificación a una empresa y otra entidad de certificación a una organización de la empresa, se puede usar cualquiera de las entidades de certificación para acceder a los repositorios de la organización.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.

  2. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Settings.

  3. En Configuración, haz clic en Seguridad de autenticación.

  4. A la derecha de "Entidades de certificación SSH", haga clic en Nueva CA.

  5. Debajo de "Llave", pega tu llave SSH pública.

  6. Haga clic en Agregar etiqueta.

  7. Opcionalmente, para exigir que los miembros usen certificados SSH, seleccione Exigir certificados SSH y, después, haga clic en Guardar.

    Nota:

    Cuando se exijan certificados SSH, los usuarios no podrán autenticarse para acceder a los repositorios de la organización a través de HTTPS o con una clave SSH sin firmar.

    El requisito no se aplica a GitHub Apps autorizadas (incluidos los tokens de usuario a servidor), la implementación de claves ni a características de GitHub como GitHub Actions, que son entornos de confianza dentro del ecosistema GitHub.

Administración del acceso a repositorios propiedad del usuario

Puede habilitar o deshabilitar el acceso a repositorios propiedad del usuario con un certificado.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.
  2. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Settings.
  3. En Configuración, haz clic en Seguridad de autenticación.
  4. En "SSH Certificate Authorities" (Entidades de certificación SSH), seleccione la casilla Access User Owned Repository (Acceso al repositorio propiedad del usuario).

Eliminar una autoridad de certificado de SSH

No se puede deshacer la eliminación de una entidad de certificación (CA) SSH de la configuración GitHub empresarial. Si quiere volver a confiar en la misma entidad de certificación en el futuro, deberá agregar nuevamente la entidad de certificación a GitHub subiendo otra vez la clave pública de la misma en la configuración de la autoridad de certificados SSH de tu empresa.

La eliminación de una ENTIDAD de certificación impide GitHub inmediatamente aceptar certificados SSH firmados por esa ENTIDAD de certificación, incluidos los certificados que aún no han expirado. Para obtener instrucciones sobre la rotación de CA, consulte Acerca de las autoridades de certificación de SSH.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.
  2. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Settings.
  3. En Configuración, haz clic en Seguridad de autenticación.
  4. En "Entidades de certificación SSH", a la derecha de la entidad de certificación que quiera eliminar, haga clic en Eliminar.
  5. Lea la advertencia y, después, haga clic en Entiendo, eliminar esta CA.

Actualizar una autoridad de certificación SSH

Las CA cargadas en su empresa antes GitHub Enterprise Server de la versión 3.13 , permiten el uso de certificados que no expiran. Para obtener más información sobre por qué las expiraciones ahora son necesarias para las nuevas CA, consulta Acerca de las autoridades de certificación de SSH. Puede actualizar una entidad de certificación existente para evitar que emita certificados que no expiren. Para obtener la mejor seguridad, se recomienda encarecidamente actualizar todas las CA una vez que valide que no depende de los certificados que no expiren.

  1. En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Enterprise settings.
  2. En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Settings.
  3. En Configuración, haz clic en Seguridad de autenticación.
  4. En "Entidades de certificación SSH", a la derecha de la entidad de certificación que quiera actualizar, haga clic en Actualizar.
  5. Lea la advertencia y haga clic en Actualizar.

Después de actualizar la entidad de certificación, se rechazarán los certificados que no expiran firmados por esa entidad de certificación.

Información adicional