Сведения о поддержке политики условного доступа поставщика удостоверений

Когда ваше предприятие использует единый вход OIDC, GitHub может проверить доступ к вашей организации и его ресурсам с помощью политики условного доступа поставщика удостоверений (CAP).

Кто может использовать эту функцию?

Enterprise Managed Users доступен для новых корпоративных учетных записей на GitHub Enterprise Cloud. См . раздел AUTOTITLE.

В этой статье

Примечание.

Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).

О поддержке политик условного доступа

Если ваше предприятие использует единый вход OIDC, GitHub автоматически будет использовать условия условного доступа поставщика удостоверений (CAP) для проверки взаимодействия с GitHub при использовании веб-интерфейса или изменении IP-адресов, а также для каждой проверки подлинности с помощью ключа personal access token или SSH, связанного с учетной записью пользователя.

Примечание.

Защита CAP для веб-сеансов в настоящее время находится в public preview и может измениться.

Если поддержка IDP CAP уже включена для вашего предприятия, вы можете выбрать расширенную защиту веб-сеансов из параметров безопасности проверки подлинности предприятия. Если защита веб-сеансов включена, и условия IP-адресов пользователя не удовлетворены, они могут просматривать и фильтровать все пользовательские ресурсы, но не могут просматривать сведения о результатах уведомлений, поиска, личных панелей мониторинга или главных репозиториев.

GitHub поддерживает CAP для всех корпоративный с управляемыми пользователями , где включен единый вход OIDC. Владельцы предприятия могут использовать эту конфигурацию списка разрешенных IP-адресов вместо GitHubв списке разрешений IP-адресов и сделать это после настройки единого входа в OIDC. Дополнительные сведения о списках разрешений IP см. в разделе [AUTOTITLE и Ограничение сетевого трафика в вашей организации с помощью списка разрешений IP-адресов](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-allowed-ip-addresses-for-your-organization).

  • GitHub применяет условия IP-адреса поставщика удостоверений, но не может применять условия соответствия устройств.
  • Политики многофакторной проверки подлинности применяются только в точке входа в idP.

Дополнительные сведения об использовании OIDC с Enterprise Managed Usersсм. в разделе [AUTOTITLE и Настройка OIDC для Управляемых пользователей Enterprise](/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/migrating-from-saml-to-oidc).

Сведения о CAP и ключ развертывания

Ключ развертывания — это ключ SSH, предоставляющий доступ к отдельному репозиторию. Так как ключ развертывания не выполняют операции от имени пользователя, условия IP-адреса CAP не применяются к каким-либо запросам, прошедшим проверку подлинности с помощью ключ развертывания. Дополнительные сведения см. в разделе Управление ключами развертывания.

Рекомендации по интеграции и автоматизации

GitHub отправляет исходный IP-адрес вашему поставщику удостоверений для проверки с вашей CAP. Чтобы убедиться, что действия и приложения не блокируются CAP вашего поставщика удостоверений, вам необходимо внести изменения в конфигурацию.

Предупреждение

Если вы используете GitHub Enterprise Importer для переноса организации из экземпляр GitHub Enterprise Server, обязательно используйте учетную запись службы, которая исключена из capa ID в противном случае миграция может быть заблокирована.

GitHub Actions

Действия, использующие personal access token, скорее всего, будут заблокированы CAP поставщика удостоверений. Рекомендуется создавать personal access tokens учетной записью службы, которая затем исключается из элементов управления IP-адресами в CAP поставщика удостоверений.

Если вы не можете использовать учетную запись службы, другой вариант для разблокировки действий, использующих personal access tokens, — разрешить диапазоны IP-адресов, используемые GitHub Actions. Дополнительные сведения см. в разделе О IP-адресах GitHub.

GitHub Codespaces

GitHub Codespaces может быть недоступно, если ваше предприятие использует единый вход OIDC с CAP для ограничения доступа по IP-адресам. Это связано с тем, что пространства кода создаются с динамическими IP-адресами, которые, скорее всего, заблокируются в CAP поставщика удостоверений. Другие политики CAP также могут повлиять на доступность GitHub Codespacesв зависимости от конкретной настройки политики.

Редактор github.dev

Редактор github.dev может быть недоступен, если ваше предприятие использует единый вход OIDC с CAP для ограничения доступа по IP-адресам. Это связано с тем, что github.dev зависит от динамических IP-адресов, которые, скорее всего, будет блокироваться в capP. Другие политики CAP также могут повлиять на доступность github.dev, в зависимости от конкретной настройки политики.

GitHub Apps и OAuth apps

Когда GitHub Apps и OAuth apps войдите и выполните запросы от имени этого пользователя, GitHub отправит IP-адрес сервера приложения в идентификатор поставщика удостоверений для проверки. Если IP-адрес сервера приложения не проверен CAP вашего поставщика удостоверений, запрос не будет выполнен.

Когда GitHub Apps вызывают API GitHub либо в качестве самого приложения, либо в качестве установки, эти вызовы не выполняются от имени пользователя. Так как cap поставщика удостоверений выполняет и применяет политики к учетным записям пользователей, эти запросы приложений не могут быть проверены в отношении CAP и всегда разрешены. Дополнительные сведения о GitHub Apps аутентификации как себя или в качестве установки см. в разделе Об аутентификации с помощью приложения GitHub.

Вы можете связаться с владельцами приложений, которые необходимо использовать, запросить их диапазоны IP-адресов и настроить CAP вашего поставщика удостоверений, чтобы разрешить доступ из этих диапазонов IP-адресов. Если не удается связаться с владельцами, можно просмотреть журналы входа в IdP, чтобы проверить IP-адреса, указанные в запросах, а затем внести эти адреса в список разрешенных.

Если вы не хотите разрешать все диапазоны IP-адресов для всех приложений предприятия, можно также исключить установленные GitHub Apps и авторизованные OAuth apps из списка разрешений поставщика удостоверений. При этом эти приложения будут продолжать работать независимо от исходного IP-адреса. Дополнительные сведения см. в разделе Применение политик для параметров безопасности в вашем предприятии.

Дополнительные материалы

  •         [Использование условия расположения в политике](https://learn.microsoft.com/entra/identity/conditional-access/location-condition) условного доступа в Microsoft Learn