Эта версия GitHub Enterprise Server была прекращена 2026-04-23. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Применение политик для параметров безопасности в вашем предприятии

Вы можете применять политики для управления параметрами безопасности в организациях предприятия или разрешить настройку политик в каждой организации.

Кто может использовать эту функцию?

Enterprise owners can enforce policies for security settings in an enterprise.

В этой статье

Сведения о политиках для параметров безопасности в вашем предприятии

Вы можете применить политики для управления параметрами безопасности для организаций, принадлежащих вашей организации. По умолчанию владельцы организации могут управлять параметрами безопасности.

Обязательная двухфакторная проверка подлинности для организаций в вашем предприятии

Если ваш экземпляр GitHub Enterprise Server использует протокол LDAP или встроенную проверку подлинности, владельцы enterprise могут требовать, чтобы члены организации, менеджер по выставлению счетов и внешний участник совместной работыs во всех организациях, принадлежащих организации, используют двухфакторную проверку подлинности для защиты учетных записей пользователей.

Прежде чем требовать двухфакторную проверку подлинности для всех организаций, принадлежащих вашей организации, необходимо включить 2FA для собственной учетной записи. Дополнительные сведения см. в разделе Защита учетной записи с помощью двухфакторной проверки подлинности (2FA).

Прежде чем требовать использование двухфакторной проверки подлинности, рекомендуется уведомить об этом членов организации, внешних участников совместной работы и менеджеров выставления счетов и попросить их настроить двухфакторную проверку подлинности для своих учетных записей. Владельцы организации могут узнать, используются ли члены и внешний участник совместной работы уже 2FA на странице "Люди" каждой организации. Дополнительные сведения см. в разделе Проверка включения двухфакторной проверки у пользователей организации.

Для проверки двухфакторной проверки подлинности требуется точное время на устройстве и сервере клиента. Администраторы сайта должны убедиться, что синхронизация времени настроена и точную. Дополнительные сведения см. в разделе Настройка синхронизации времени.

Предупреждение

  • Если для вашего предприятия требуется двухфакторная проверка подлинности, members и внешний участник совместной работы (включая учетные записи ботов) во всех организациях, принадлежащих вашей организации, которые не используют 2FA, будут удалены из организации и теряют доступ к его репозиториям. Они также потеряют доступ к своим вилкам в частных репозиториях организации. Вы можете восстановить свои права доступа и параметры, если они включите 2FA для своей учетной записи в течение трех месяцев после их удаления из организации. Дополнительные сведения см. в разделе Восстановление бывшего члена организации.
  • Любой участник или внешний участник совместной работы в любой из организаций, принадлежащих вашей организации, которая отключает 2FA для своей учетной записи после включения двухфакторной проверки подлинности, будет автоматически удалена из организации. Члены и менеджер по выставлению счетов s которые отключают 2FA, не смогут получать доступ к ресурсам организации, пока они не будут повторно включить его.
  • Если вы являетесь единственным владельцем предприятия, требующего двухфакторной проверки подлинности, вы не сможете отключить 2FA для учетной записи пользователя без отключения необходимой 2FA для предприятия.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.

  3. В разделе Settings, щелкните "Безопасность проверки подлинности".

  4. В разделе "Двухфакторная проверка подлинности" просмотрите сведения об изменении параметра. При необходимости, чтобы просмотреть текущую конфигурацию для всех организаций в корпоративной учетной записи перед изменением параметра, щелкните Просмотрите текущие конфигурации вашей организации.

    Снимок экрана: политика в параметрах предприятия. Ссылка, помеченная как "Просмотр текущих конфигураций организации", описана.

  5. В разделе "Двухфакторная проверка подлинности" выберите "Требовать двухфакторную проверку подлинности для предприятия" и всех ее организаций, а затем нажмите кнопку "Сохранить".

  6. Если появится запрос, ознакомьтесь с информацией о том, как доступ пользователей к ресурсам организации будет влиять на требование 2FA. Чтобы подтвердить изменение, нажмите кнопку "Подтвердить".

  7. При необходимости, если какие-либо члены или внешний участник совместной работы удаляются из организаций, принадлежащих вашей организации, мы рекомендуем отправить им приглашение восстановить свои бывшие привилегии и доступ к вашей организации. Каждый пользователь должен включить 2FA, прежде чем они смогут принять приглашение.

Управление центрами сертификации SSH для вашего предприятия

Вы можете использовать центр сертификации SSH (ЦС), чтобы разрешить членам любой организации, принадлежащей вашей организации, доступ к репозиториям этой организации с помощью предоставленных сертификатов SSH. Enterprise. Вы можете требовать, чтобы участники использовали сертификаты SSH для доступа к ресурсам организации, если В репозитории не отключен SSH. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

При выдаче каждого сертификата клиента необходимо включить расширение, указывающее, для какого пользователя GitHub указан сертификат. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

Добавление центра сертификации SSH

Если вы требуете сертификаты SSH, для вашего предприятия, члены предприятия должны использовать специальный URL-адрес для операций Git по протоколу SSH. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

Каждый центр сертификации можно передать только в одну учетную запись на GitHub. Если центр сертификации SSH добавлен в организацию или корпоративную учетную запись, вы не можете добавить тот же центр сертификации в другую организацию или корпоративную учетную запись на GitHub.

При добавлении одного центра сертификации в организацию в организацию в организации в организации можно использовать любой центр сертификации для доступа к репозиториям организации.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.

  3. В разделе Settings, щелкните "Безопасность проверки подлинности".

  4. Справа от поля «Центры сертификации SSH» нажмите кнопку Создать ЦС.

  5. В разделе «Ключ» вставьте открытый ключ SSH.

  6. Нажмите Добавить ЦС.

  7. При необходимости, чтобы обязать участников использовать сертификаты SSH, выберите Require SSH Certificates (Требовать сертификаты SSH), а затем нажмите кнопку Сохранить.

    Примечание.

    Если требуется сертификат SSH, пользователи не смогут проходить проверку подлинности для доступа к репозиториям организации по протоколу HTTPS или без знака ключа SSH.

    Требование не применяется к авторизованным функциям GitHub Apps (включая маркеры пользовательского доступа к серверу), ключ развертывания или к функциям GitHub, таким как GitHub Actions, которые являются доверенными средами в экосистеме GitHub .

Управление доступом к репозиториям, принадлежащим пользователям

Вы можете включить или отключить доступ к пользовательским репозиториям с помощью сертификата SSH.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе "Центры сертификации SSH" установите флажок "Доступ к репозиторию, принадлежащий пользователю".

Удаление центра сертификации SSH

Удаление ЦС не может быть отменено. Если вы хотите использовать тот же ЦС в будущем, вам потребуется отправить ЦС снова.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе «Центры сертификации SSH» справа от центра сертификации, который требуется удалить, нажмите кнопку Удалить.
  5. Ознакомьтесь с предупреждением, а затем щелкните Понятно, удалить этот ЦС.

Обновление центра сертификации SSH

Центры сертификации, отправленные в ваше предприятие до GitHub Enterprise Server версии 3.13 позволяют использовать сертификаты без истечения срока действия. Дополнительные сведения о том, почему срок действия теперь требуется для новых ЦС, см. в разделе Сведения о центрах сертификации SSH. Вы можете обновить существующий ЦС, чтобы предотвратить выдачу сертификатов без истечения срока действия. Для обеспечения оптимальной безопасности настоятельно рекомендуется обновить все центры сертификации после проверки, что вы не зависите от сертификатов без истечения срока действия.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Settings.
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе "Центры сертификации SSH" справа от ЦС, который требуется обновить, нажмите кнопку "Обновить".
  5. Прочтите предупреждение, а затем нажмите кнопку "Обновить".

После обновления ЦС сертификаты без истечения срока действия, подписанные этим ЦС, будут отклонены.

Дополнительные материалы