Aplicando políticas para configurações de segurança na sua empresa

É possível impor políticas para gerenciar as configurações de segurança nas organizações da sua empresa ou permitir que as políticas sejam definidas em cada organização.

Quem pode usar esse recurso?

Enterprise owners can enforce policies for security settings in an enterprise.

Neste artigo

Sobre políticas para configurações de segurança na sua empresa

Você pode impor políticas para controlar as configurações de segurança para organizações pertencentes à sua empresa. Por padrão, os proprietários da organização podem gerenciar as configurações de segurança.

Exigir autenticação de dois fatores para organizações na sua empresa

Se o sua instância do GitHub Enterprise Server usar a autenticação LDAP ou interna, os proprietários da empresa podem exigir que os membros da organização, os gerentes de cobrança e os colaboradores externos em todas as organizações de propriedade de uma empresa usem a autenticação de dois fatores para proteger as respectivas contas de usuário.

Antes de poder exigir a autenticação de dois fatores (2FA) para todas as organizações pertencentes à sua empresa, você deve habilitar o 2FA para sua própria conta. Para saber mais, confira Proteger sua conta com a autenticação de dois fatores (2FA).

Antes de exigir o uso da autenticação de dois fatores, é recomendável notificar os integrantes da organização, colaboradores externos e gerentes de cobrança e pedir que eles configurem 2FA nas contas deles. Os proprietários da organização podem ver se integrantes e colaboradores externos já utilizam 2FA na página "People" de cada organização. Para saber mais, confira Ver se os usuários da organização habilitaram a 2FA.

A verificação de códigos de autenticação de dois fatores requer um horário preciso no dispositivo e no servidor do cliente. Os administradores do site devem garantir que a sincronização de horário esteja configurada e seja precisa. Para saber mais, confira Configurar a sincronização de hora.

Aviso

  • Quando você exige a autenticação de dois fatores para sua empresa, colaboradores externos (incluindo contas bot) em todas as organizações pertencentes à empresa que não utilizam a 2FA são removidos da organização e perdem o acesso aos repositórios dela. Eles também perderão acesso às bifurcações dos repositórios privados da organização. Você poderá restabelecer as configurações e os privilégios de acesso deles se a 2FA for habilitada na conta deles em até três meses após a remoção da organização. Para saber mais, confira Como reinstaurar um antigo membro da sua organização.
  • Qualquer colaborador externo em qualquer uma das organizações pertencentes à sua empresa que desabilitar a 2FA para a conta dele depois que você tiver habilitado a autenticação de dois fatores obrigatória será removido automaticamente da organização. Membros e gerentes de cobrança que desabilitarem a 2FA não poderão acessar os recursos da organização até que a habilitem novamente.
  • Se você for o único proprietário de uma empresa que exige autenticação de dois fatores, não poderá desabilitar a 2FA para sua conta de usuário sem desabilitar a 2FA obrigatória para a empresa.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.

  2. Na parte superior da página, clique em Settings.

  3. Em Settings, clique em Authentication security.

  4. Em "Two-factor authentication" (Autenticação de dois fatores), revise as informações sobre como alterar a configuração. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em View your organizations' current configurations.

    Captura de tela de uma política nas configurações da empresa. Um link, rotulado como "View your organizations' current configurations", está contornado.

  5. Em "Two-factor authentication", selecione Exigir autenticação de dois fatores para a empresa e todas as suas organizações e clique em Salvar.

  6. Se solicitado, leia as informações sobre como o acesso do usuário aos recursos da organização será afetado por um requisito de 2FA. Para confirmar a alteração, clique em Confirmar.

  7. Como alternativa, se algum colaborador externo for removido das organizações pertencentes à sua empresa, recomendamos enviar um convite para restabelecer os privilégios e o acesso à organização que ele tinha anteriormente. Cada pessoa precisa habilitar a 2FA para poder aceitar o convite.

Gerenciando as autoridades de certificados de SSH da sua empresa

Você pode usar uma autoridade certificadora (CA) SSH para permitir que membros de qualquer organização pertencente às suas empresas acessem os repositórios dessas organizações usando os certificados SSH fornecidos por você. Enterprise também podem ter permissão para usar o certificado para acessar repositórios de propriedade pessoal. Você pode exigir que os membros usem certificados SSH para acessar os recursos da organização, a menos que o SSH esteja desativado no seu repositório. Para obter mais informações, consulte Sobre autoridades certificadas de SSH.

A cada emissão de certificado do cliente, você precisa incluir uma extensão que especifica o usuário do GitHub para quem o certificado se destina. Para saber mais, confira Sobre autoridades certificadas de SSH.

Adicionar uma autoridade certificada de SSH

Se você precisar de certificados SSH para sua empresa, os integrantes da empresa deverão usar um URL especial para operações do Git por meio do SSH. Para saber mais, confira Sobre autoridades certificadas de SSH.

Cada autoridade de certificação só pode ser carregada em uma única conta no GitHub. Se uma autoridade de certificação SSH foi adicionada a uma conta da organização ou da empresa, você não pode adicionar a mesma autoridade de certificação a outra conta da organização ou da empresa no GitHub.

Se você adicionar uma autoridade de certificação a uma empresa e outra autoridade de certificação a uma organização na empresa, qualquer autoridade de certificação poderá ser usada para acessar os repositórios da organização.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.

  2. Na parte superior da página, clique em Settings.

  3. Em Settings, clique em Authentication security.

  4. À direita de "Autoridades de Certificação SSH", clique em Nova AC.

  5. Em "Key," cole sua chave pública SSH.

  6. Clique em Adicionar AC.

  7. Opcionalmente, para exigir que os membros usem certificados SSH, selecione Exigir Certificados SSH e clique em Salvar.

    Observação

    Quando você exige certificados SSH, os usuários não poderão se autenticar para acessar os repositórios da organização por HTTPS ou com uma chave SSH não assinada.

    O requisito não se aplica a GitHub Apps autorizados (incluindo tokens do usuário para o servidor), chaves de implantação, ou a recursos do GitHub, como GitHub Actions, que são ambientes confiáveis no ecossistema do GitHub.

Gerenciando o acesso a repositórios de propriedade do usuário

Você pode habilitar ou desabilitar o acesso a repositórios de propriedade do usuário com um certificado SSH.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.
  2. Na parte superior da página, clique em Settings.
  3. Em Settings, clique em Authentication security.
  4. Em "Autoridades de Certificação SSH", marque a caixa de seleção Acessar repositório de propriedade do usuário.

Excluir uma autoridade certificada de SSH

A exclusão de uma CA não pode ser desfeita. Se você quiser usar a mesma CA no futuro, precisará fazer upload dela novamente.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.
  2. Na parte superior da página, clique em Settings.
  3. Em Settings, clique em Authentication security.
  4. Em "Autoridades de Certificado SSH", à direita da AC que deseja excluir, clique em Excluir.
  5. Leia o aviso e clique em Entendi. Excluir esta AC.

Leitura adicional

  •         [AUTOTITLE](/admin/identity-and-access-management/using-saml-for-enterprise-iam/about-saml-for-enterprise-iam)