Применение политик для параметров безопасности в вашем предприятии

Вы можете применять политики для управления параметрами безопасности в организациях предприятия или разрешить настройку политик в каждой организации.

Кто может использовать эту функцию?

Enterprise owners can enforce policies for security settings in an enterprise.

В этой статье

Сведения о политиках для параметров безопасности в вашем предприятии

Вы можете применить политики для управления параметрами безопасности для организаций, принадлежащих вашей организации. По умолчанию владельцы организации могут управлять параметрами безопасности.

Обязательная двухфакторная проверка подлинности для организаций в вашем предприятии

Примечание.

По состоянию на март 2023 г. GitHub требовал от всех пользователей, которые вносят код на GitHub.com для включения одной или нескольких форм двухфакторной проверки подлинности (2FA). Если бы вы были в соответствующей группе, вы получили бы уведомление по электронной почте, когда эта группа была выбрана для регистрации, помечая начало 45-дневного периода регистрации 2FA, и вы видели бы баннеры, запрашивающие регистрацию в 2FA на GitHub.com. Если вы не получили уведомления, то вы не были частью группы, необходимой для включения 2FA, хотя настоятельно рекомендуется.

Дополнительные сведения о выпуске регистрации 2FA см . в этой записи блога.

предприятий могут требовать, чтобы члены организации, менеджеры по биллингу и внешние сотрудники во всех организациях, принадлежащих компании, использовали двухфакторную аутентификацию для защиты своих учетных записей. Эта политика недоступна для предприятий с управляемыми пользователями.

Прежде чем требовать двухфакторную проверку подлинности для всех организаций, принадлежащих вашей организации, необходимо включить 2FA для собственной учетной записи. Дополнительные сведения см. в разделе Защита учетной записи с помощью двухфакторной проверки подлинности (2FA).

Прежде чем требовать использование двухфакторной проверки подлинности, рекомендуется уведомить об этом членов организации, внешних участников совместной работы и менеджеров выставления счетов и попросить их настроить двухфакторную проверку подлинности для своих учетных записей. Владельцы организации могут узнать, используются ли члены и внешний участник совместной работы уже 2FA на странице "Люди" каждой организации. Дополнительные сведения см. в разделе Проверка включения двухфакторной проверки у пользователей организации.

Предупреждение

  • Когда вам требуется двухфакторная аутентификация для вашего предприятия, внешние сотрудники (включая учетные записи ботов) во всех организациях, принадлежащих вашему предприятию, которые не используют 2FA, будут удалены из организации и потеряны доступ к её репозиториям. Они также потеряют доступ к своим вилкам в частных репозиториях организации. Вы можете восстановить свои права доступа и параметры, если они включите 2FA для своей учетной записи в течение трех месяцев после их удаления из организации. Дополнительные сведения см. в разделе Восстановление бывшего члена организации.
  • Любой внешний партнёр в любой из организаций, принадлежащих вашему предприятию, который отключит 2FA для своего аккаунта после включения необходимой двухфакторной аутентификации, будет автоматически удален из организации. Члены по выставлению счетов, отключившие 2FA, не смогут получить доступ к ресурсам организации, пока не запустят его снова.
  • Если вы являетесь единственным владельцем предприятия, требующего двухфакторной проверки подлинности, вы не сможете отключить 2FA для учетной записи пользователя без отключения необходимой 2FA для предприятия.

Примечание.

Некоторые пользователи в ваших организациях могли быть выбраны для обязательной регистрации двухфакторной аутентификации, GitHub.comно это никак не влияет на то, как вы реализуете требование 2FA для организаций вашего предприятия. Если вы включите требование 2FA для организаций в вашем предприятии, внешние коллаборационисты без текущей включённой 2FA будут удалены из организаций, включая тех, кто обязан его включать по GitHub.com.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

  2. В верхней части страницы нажмите «Настройки».

  3. В разделе Settings, щелкните "Безопасность проверки подлинности".

  4. В разделе "Двухфакторная проверка подлинности" просмотрите сведения об изменении параметра. При необходимости, чтобы просмотреть текущую конфигурацию для всех организаций в корпоративной учетной записи перед изменением параметра, щелкните Просмотрите текущие конфигурации вашей организации.

    Снимок экрана: политика в параметрах предприятия. Ссылка, помеченная как "Просмотр текущих конфигураций организации", описана.

  5. В разделе "Двухфакторная проверка подлинности" выберите "Требовать двухфакторную проверку подлинности для предприятия" и всех ее организаций, а затем нажмите кнопку "Сохранить".

  6. Если появится запрос, ознакомьтесь с информацией о том, как доступ пользователей к ресурсам организации будет влиять на требование 2FA. Чтобы подтвердить изменение, нажмите кнопку "Подтвердить".

  7. При необходимости, если какие-либо внешний участник совместной работы удаляются из организаций, принадлежащих вашей организации, рекомендуется отправить им приглашение, чтобы восстановить свои бывшие привилегии и доступ к вашей организации. Каждый пользователь должен включить 2FA, прежде чем они смогут принять приглашение.

Требование безопасных методов двухфакторной проверки подлинности для организаций в вашей организации

Наряду с требованием двухфакторной проверки подлинности владельцы предприятия могут требовать, чтобы члены организации, менеджер по выставлению счетов и внешний участник совместной работы во всех организациях, принадлежащих предприятиям, используют безопасные методы 2FA. Безопасные двухфакторные методы — это ключи доступа, ключи безопасности, приложения аутентификации и мобильное приложение GitHub. Пользователи, у которых нет безопасного метода 2FA или настроенные небезопасные методы, не смогут получать доступ к ресурсам в любых организациях, принадлежащих предприятиям. Эта политика недоступна для предприятий с управляемыми пользователями.

Прежде чем требовать безопасные методы двухфакторной проверки подлинности, рекомендуется уведомлять членов организации, внешний участник совместной работы и менеджер по выставлению счетов и запрашивать их настройку безопасной 2FA для своих учетных записей. Владельцы организации могут узнать, используют ли члены и внешний участник совместной работы безопасные методы 2FA на странице "Люди" каждой организации. Дополнительные сведения см. в разделе Проверка включения двухфакторной проверки у пользователей организации.

  1. В разделе "Двухфакторная проверка подлинности" выберите "Требовать двухфакторную проверку подлинности для предприятия" и всех ее организаций и разрешить только безопасные двухфакторные методы, а затем нажмите кнопку "Сохранить".
  2. Если появится запрос, ознакомьтесь с информацией о том, как доступ пользователей к ресурсам организации будет влиять на использование безопасных методов 2FA. Чтобы подтвердить изменение, нажмите кнопку "Подтвердить".
  3. При необходимости, если какие-либо внешний участник совместной работы удаляются из организаций, принадлежащих вашей организации, рекомендуется отправить им приглашение, чтобы восстановить свои бывшие привилегии и доступ к вашей организации. Каждый пользователь должен включить 2FA с безопасным методом, прежде чем они смогут принять приглашение.

Управление центрами сертификации SSH для вашего предприятия

Вы можете использовать центр сертификации SSH (ЦС), чтобы разрешить членам любой организации, принадлежащей вашей организации, доступ к репозиториям этой организации с помощью предоставленных сертификатов SSH.

Если ваше предприятие использует Enterprise Managed Users, участники Enterprise также могут использовать сертификат для доступа к личным репозиториям. Вы можете требовать, чтобы участники использовали сертификаты SSH для доступа к ресурсам организации. Для получения дополнительной информации см. Сведения о центрах сертификации SSH.

GitHub использует пользовательские сертификаты SSH в формате OpenSSH для аутентификации операций Git через SSH путём проверки подписи и полей сертификата (включая срок его действительности) на доверенном SSH-сертификационном центре (CA), настроенном на уровне организации и/или предприятия.

При выдаче каждого сертификата клиента необходимо включить расширение, указывающее, для какого пользователя GitHub указан сертификат. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

Добавление центра сертификации SSH

Если вы требуете сертификаты SSH, для вашего предприятия, члены предприятия должны использовать специальный URL-адрес для операций Git по протоколу SSH. Дополнительные сведения см. в разделе Сведения о центрах сертификации SSH.

Каждый центр сертификации можно передать только в одну учетную запись на GitHub. Если центр сертификации SSH добавлен в организацию или корпоративную учетную запись, вы не можете добавить тот же центр сертификации в другую организацию или корпоративную учетную запись на GitHub.

При добавлении одного центра сертификации в организацию в организацию в организации в организации можно использовать любой центр сертификации для доступа к репозиториям организации.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

  2. В верхней части страницы нажмите «Настройки».

  3. В разделе Settings, щелкните "Безопасность проверки подлинности".

  4. Справа от поля «Центры сертификации SSH» нажмите кнопку Создать ЦС.

  5. В разделе «Ключ» вставьте открытый ключ SSH.

  6. Нажмите Добавить ЦС.

  7. При необходимости, чтобы обязать участников использовать сертификаты SSH, выберите Require SSH Certificates (Требовать сертификаты SSH), а затем нажмите кнопку Сохранить.

    Примечание.

    Если требуется сертификат SSH, пользователи не смогут проходить проверку подлинности для доступа к репозиториям организации по протоколу HTTPS или без знака ключа SSH, независимо от того, авторизован ли ключ SSH для организации, требующей проверки подлинности через внешнюю систему удостоверений.

    Требование не применяется к авторизованным функциям GitHub Apps (включая маркеры пользовательского доступа к серверу), ключ развертывания или к функциям GitHub, таким как GitHub Actions и Codespaces, которые являются доверенными средами в экосистеме GitHub .

Управление доступом к репозиториям, принадлежащим пользователям

Вы можете включить или отключить доступ к пользовательским репозиториям с SSH-сертификатом , если ваше предприятие использует управляемые учетные записи пользователей. Однако если ваше предприятие использует личные аккаунты, члены GitHub.com не могут использовать сертификат для доступа к личным репозиториям.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе "Центры сертификации SSH" установите флажок "Доступ к репозиторию, принадлежащий пользователю".

Удаление центра сертификации SSH

Удаление SSH-сертификационного центра (CA) из корпоративных настроек GitHub нельзя отменить. Если вы захотите снова доверять тому же CA в будущем, вам нужно будет добавить его обратно GitHub , снова загрузив публичный ключ CA в настройках SSH-сертификационного центра вашего предприятия.

Немедленное удаление CA предотвращает GitHub принятие SSH-сертификатов, подписанных этим CA, включая сертификаты, которые ещё не истекли. Для рекомендаций по ротации CA см. Сведения о центрах сертификации SSH.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе «Центры сертификации SSH» справа от центра сертификации, который требуется удалить, нажмите кнопку Удалить.
  5. Ознакомьтесь с предупреждением, а затем щелкните Понятно, удалить этот ЦС.

Обновление центра сертификации SSH

ЦЗ, загруженные на ваше предприятие до 27 марта 2024 года, , разрешающие использование неистекающих сертификатов. Дополнительные сведения о том, почему срок действия теперь требуется для новых ЦС, см. в разделе Сведения о центрах сертификации SSH. Вы можете обновить существующий ЦС, чтобы предотвратить выдачу сертификатов без истечения срока действия. Для обеспечения оптимальной безопасности настоятельно рекомендуется обновить все центры сертификации после проверки, что вы не зависите от сертификатов без истечения срока действия.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Настройки».
  3. В разделе Settings, щелкните "Безопасность проверки подлинности".
  4. В разделе "Центры сертификации SSH" справа от ЦС, который требуется обновить, нажмите кнопку "Обновить".
  5. Прочтите предупреждение, а затем нажмите кнопку "Обновить".

После обновления ЦС сертификаты без истечения срока действия, подписанные этим ЦС, будут отклонены.

Управление единым входом для пользователей без проверки подлинности

Примечание.

Автоматическое перенаправление пользователей для входа в Публичный предварительный просмотр для Enterprise Managed Users и подлежит изменению.

Если ваше предприятие использует Enterprise Managed Users, вы можете выбрать, что неаутентифицированные пользователи видят при попытке получить доступ к ресурсам вашего предприятия. Дополнительные сведения см. в Enterprise Managed Usersразделе Сведения о Enterprise Managed Users.

По умолчанию, чтобы скрыть существование частных ресурсов, когда неаутентифицированный пользователь пытается получить доступ к вашему предприятию, GitHub отображается ошибка 404.

Чтобы предотвратить путаницу от разработчиков, вы можете изменить это поведение, включив параметр "Автоматическое перенаправление пользователей для входа", чтобы пользователи автоматически перенаправлялись на единый вход через поставщика удостоверений (IdP). При включении этого параметра любой пользователь, который посещает URL-адрес для любого из ресурсов вашего предприятия, сможет увидеть, что ресурс существует. Однако они смогут видеть ресурс только в том случае, если у них есть соответствующий доступ после проверки подлинности с помощью поставщика удостоверений.

Конфигурация этой настройки также влияет Enterprise Managed Users на пользователей Git Credential Manager (GCM). Дополнительные сведения см. в репозитории git-credential-manager

Если включено «Автоматическое перенаправление пользователей на вход», сервер GitHub отправляет подсказки, позволяющие GCM автоматически фильтровать аккаунты для ваших корпоративных участников. Если параметр отключен, пользователи, использующие GCM, должны отключить фильтрацию учетных записей локально в GCM, чтобы избежать запроса на проверку подлинности при каждом выполнении операции Git. Дополнительные сведения см. в разделе Кэширование учетных данных GitHub в Git.

Примечание.

Если пользователь вошёл в свой личный аккаунт при попытке получить доступ к ресурсам вашего предприятия, его автоматически выйдет из аккаунта и перенаправит на SSO для входа в их управляемая учетная запись пользователя. Дополнительные сведения см. в разделе Управление несколькими учетными записями.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
  2. В верхней части страницы нажмите «Поставщик личности».
  3. В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.
  4. В разделе "Параметры единого входа" выберите или отмените выбор автоматического перенаправления пользователей для входа.

Дополнительные материалы