Применение политик для параметров безопасности в вашем предприятии

Вы можете применять политики для управления параметрами безопасности в организациях предприятия или разрешить настройку политик в каждой организации.

Кто может использовать эту функцию?

Enterprise owners can enforce policies for security settings in an enterprise.

В этой статье

Сведения о политиках для параметров безопасности в вашем предприятии

Вы можете применить политики для управления параметрами безопасности для организаций, принадлежащих вашей организации. По умолчанию владельцы организации могут управлять параметрами безопасности.

Обязательная двухфакторная проверка подлинности для организаций в вашем предприятии

Если ваш экземпляр GitHub Enterprise Server используется LDAP или встроенная аутентификация, владельцы корпоративных предприятий могут требовать, чтобы члены организации, менеджеры по биллингу и внешние сотрудники во всех организациях, принадлежащих компании, использовали двухфакторную аутентификацию для защиты своих учетных записей.

Прежде чем требовать двухфакторную проверку подлинности для всех организаций, принадлежащих вашей организации, необходимо включить 2FA для собственной учетной записи. Дополнительные сведения см. в разделе Защита учетной записи с помощью двухфакторной проверки подлинности (2FA).

Прежде чем требовать использование двухфакторной проверки подлинности, рекомендуется уведомить об этом членов организации, внешних участников совместной работы и менеджеров выставления счетов и попросить их настроить двухфакторную проверку подлинности для своих учетных записей. Владельцы организации могут узнать, используются ли члены и внешний участник совместной работы уже 2FA на странице "Люди" каждой организации. Дополнительные сведения см. в разделе Проверка включения двухфакторной проверки у пользователей организации.

Для проверки двухфакторной проверки подлинности требуется точное время на устройстве и сервере клиента. Администраторы сайта должны убедиться, что синхронизация времени настроена и точную. Дополнительные сведения см. в разделе Настройка синхронизации времени.

Предупреждение

  • Когда вам требуется двухфакторная аутентификация для вашего предприятия, внешние сотрудники (включая учетные записи ботов) во всех организациях, принадлежащих вашему предприятию, которые не используют 2FA, будут удалены из организации и потеряны доступ к её репозиториям. Они также потеряют доступ к своим вилкам в частных репозиториях организации. Вы можете восстановить свои права доступа и параметры, если они включите 2FA для своей учетной записи в течение трех месяцев после их удаления из организации. Дополнительные сведения см. в разделе Восстановление бывшего члена организации.
  • Любой внешний партнёр в любой из организаций, принадлежащих вашему предприятию, который отключит 2FA для своего аккаунта после включения необходимой двухфакторной аутентификации, будет автоматически удален из организации. Члены и менеджеры по выставлению счетов, отключившие 2FA, не смогут получить доступ к ресурсам организации, пока не запустят его снова.
  • Если вы являетесь единственным владельцем предприятия, требующего двухфакторной проверки подлинности, вы не сможете отключить 2FA для учетной записи пользователя без отключения необходимой 2FA для предприятия.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  2. В верхней части страницы нажмите «Настройки».

  3. В разделе Settings, щелкните "Безопасность проверки подлинности".

  4. В разделе "Двухфакторная проверка подлинности" просмотрите сведения об изменении параметра. При необходимости, чтобы просмотреть текущую конфигурацию для всех организаций в корпоративной учетной записи перед изменением параметра, щелкните Просмотрите текущие конфигурации вашей организации.

    Снимок экрана: политика в параметрах предприятия. Ссылка, помеченная как "Просмотр текущих конфигураций организации", описана.

  5. В разделе "Двухфакторная проверка подлинности" выберите "Требовать двухфакторную проверку подлинности для предприятия" и всех ее организаций, а затем нажмите кнопку "Сохранить".

  6. Если появится запрос, ознакомьтесь с информацией о том, как доступ пользователей к ресурсам организации будет влиять на требование 2FA. Чтобы подтвердить изменение, нажмите кнопку "Подтвердить".

  7. При необходимости, если какие-либо внешний участник совместной работы удаляются из организаций, принадлежащих вашей организации, рекомендуется отправить им приглашение, чтобы восстановить свои бывшие привилегии и доступ к вашей организации. Каждый пользователь должен включить 2FA, прежде чем они смогут принять приглашение.

Управление центрами сертификации SSH для вашего предприятия

Вы можете использовать центр сертификации SSH (ЦС), чтобы разрешить членам любой организации, принадлежащей вашей организации, доступ к репозиториям этой организации с помощью предоставленных сертификатов SSH.

также могут использовать сертификат для доступа к личным репозиториям. Вы можете требовать, чтобы участники использовали сертификаты SSH для доступа к ресурсам организации, если В репозитории не отключен SSH. Для получения дополнительной информации см. Сведения о центрах сертификации SSH.

GitHub использует пользовательские сертификаты SSH в формате OpenSSH для аутентификации операций Git через SSH путём проверки подписи и полей сертификата (включая срок его действительности) на доверенном SSH-сертификационном центре (CA), настроенном на уровне организации и/или предприятия.

При выдаче каждого сертификата клиента необходимо включить расширение, указывающее, для какого пользователя GitHub указан сертификат. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

Добавление центра сертификации SSH

Если вы требуете сертификаты SSH, для вашего предприятия, члены предприятия должны использовать специальный URL-адрес для операций Git по протоколу SSH. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

Каждый центр сертификации можно передать только в одну учетную запись на GitHub. Если центр сертификации SSH добавлен в организацию или корпоративную учетную запись, вы не можете добавить тот же центр сертификации в другую организацию или корпоративную учетную запись на GitHub.

При добавлении одного центра сертификации в организацию в организацию в организации в организации можно использовать любой центр сертификации для доступа к репозиториям организации.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  2. В верхней части страницы нажмите «Настройки».

  3. В разделе Settings, щелкните "Безопасность проверки подлинности".

  4. Справа от поля «Центры сертификации SSH» нажмите кнопку Создать ЦС.

  5. В разделе «Ключ» вставьте открытый ключ SSH.

  6. Нажмите Добавить ЦС.

  7. При необходимости, чтобы обязать участников использовать сертификаты SSH, выберите Require SSH Certificates (Требовать сертификаты SSH), а затем нажмите кнопку Сохранить.

    Примечание.

    Если требуется сертификат SSH, пользователи не смогут проходить проверку подлинности для доступа к репозиториям организации по протоколу HTTPS или без знака ключа SSH.

    Требование не применяется к авторизованным функциям GitHub Apps (включая маркеры пользовательского доступа к серверу), ключ развертывания или к функциям GitHub, таким как GitHub Actions, которые являются доверенными средами в экосистеме GitHub .

Управление доступом к репозиториям, принадлежащим пользователям

Вы можете включить или отключить доступ к пользовательским репозиториям с SSH-сертификатом.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2. В верхней части страницы нажмите «Настройки».
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе "Центры сертификации SSH" установите флажок "Доступ к репозиторию, принадлежащий пользователю".

Удаление центра сертификации SSH

Удаление SSH-сертификационного центра (CA) из корпоративных настроек GitHub нельзя отменить. Если вы захотите снова доверять тому же CA в будущем, вам нужно будет добавить его обратно GitHub , снова загрузив публичный ключ CA в настройках SSH-сертификационного центра вашего предприятия.

Немедленное удаление CA предотвращает GitHub принятие SSH-сертификатов, подписанных этим CA, включая сертификаты, которые ещё не истекли. Для рекомендаций по ротации CA см. Сведения о центрах сертификации SSH.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2. В верхней части страницы нажмите «Настройки».
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе «Центры сертификации SSH» справа от центра сертификации, который требуется удалить, нажмите кнопку Удалить.
  5. Ознакомьтесь с предупреждением, а затем щелкните Понятно, удалить этот ЦС.

Обновление центра сертификации SSH

ЦЗ, загруженные на ваше предприятие до GitHub Enterprise Server версии 3.13 , разрешающие использование неистекающих сертификатов. Дополнительные сведения о том, почему срок действия теперь требуется для новых ЦС, см. в разделе Сведения о центрах сертификации SSH. Вы можете обновить существующий ЦС, чтобы предотвратить выдачу сертификатов без истечения срока действия. Для обеспечения оптимальной безопасности настоятельно рекомендуется обновить все центры сертификации после проверки, что вы не зависите от сертификатов без истечения срока действия.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2. В верхней части страницы нажмите «Настройки».
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе "Центры сертификации SSH" справа от ЦС, который требуется обновить, нажмите кнопку "Обновить".
  5. Прочтите предупреждение, а затем нажмите кнопку "Обновить".

После обновления ЦС сертификаты без истечения срока действия, подписанные этим ЦС, будут отклонены.

Дополнительные материалы