角色控制用户对企业和组织中设置和资源的访问权限。 有关角色简介,请参阅 企业中的角色。
通过有效地使用角色,可以:
- 在企业的每个级别安全地委派管理职责和管理访问权限。
- 通过减少企业中具有全面管理访问权限的人员数来增强安全性。
- 确保每个人都有权独立高效工作。
1.查看可用的角色和权限
本指南可帮助你了解角色的最佳做法,以便规划企业和组织中所需的角色。 然后,你将能够创建一个有效使用角色的团队结构。
请在考虑哪些任务可以从特定角色中受益时,查看现有的预定义角色和自定义权限,以确认是否可以为此任务创建一个更细致的角色。 如果没有,则需要依赖具有更全面访问权限的角色,例如企业所有者。
注意
企业自定义角色目前只涵盖有限的企业设置子集,但 GitHub 计划随着时间的推移扩展权限列表。
| 角色类型 | 详细信息 |
|---|---|
| 预定义的企业角色 |
[AUTOTITLE](/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/abilities-of-roles) |
| 预定义的组织角色 |
组织中的角色 |
| 自定义企业角色 | 查看可用权限 HOSTNAME/enterprises/ENTERPRISE/enterprise_roles/new列表,其中 ENTERPRISE 是企业帐户的名称。 |
| 自定义组织角色 |
自定义组织角色的权限 |
2. 确定每个帐户的两个所有者
确定谁将充当企业所有者和组织所有者。 “所有者”角色具有对企业或组织帐户的完全管理访问权限。
我们建议每个帐户至少有两个所有者。 尽管最好限制具有此级别访问权限的人员数量,但如果一个账户只有一个所有者,当所有者无法联系时,账户的资源可能会变得不可访问。
确定负责管理事务的角色
确定可帮助你将耗时的管理职责委派给其他团队的预定义角色或自定义角色。 这将有助于企业所有者专注于紧急或战略工作。
不太可能将企业中的每个管理职责细化分配给特定团队,因此我们建议专注于最频繁且耗时的任务。 有关如何使用角色委托常见任务的一些示例包括:
-
**审核**:使用自定义角色向团队授予对审核日志的访问权限,而无需允许他们访问任何其他设置。 -
**身份验证**:使用自定义角色为标识提供者管理员授予管理 GitHub 上的 SSO 设置的权限,以便他们可以独立配置身份验证。 -
**安全性**:使用企业安全管理器角色,使安全团队能够访问整个企业和组织中的警报和安全数据。
某些管理任务比其他任务更敏感。 例如,如果你的企业使用团队来管理许可、访问和角色,那么能够更改团队成员身份是一项重要的操作,你可能希望将其限制在少数几个人之间。
4.确定非管理员的基本权限
考虑企业的每个成员是否都有从中受益的权限。 这些内容可以添加到您分配给所有人的自定义角色中。
例如,默认情况下,常规用户对企业帐户的可见性有限。 如果想要提高透明度,可能需要允许所有员工:
- 查看其他企业成员和管理员,以便他们知道在何处寻求帮助
- 通过审核日志查看企业中人员执行的操作。
5. 将工作委托给应用
并非所有任务都最适合人类。 确定频繁、耗时且容易实现自动化的任务,并考虑将这些任务委托给 GitHub Apps。
GitHub Apps 提供用于脚本和工作流的特定范围的令牌。 尽管应用程序使用的权限系统与分配给用户的角色不同,但你可以将这些应用程序视为在GitHub上有特定角色的人。
- 它们对特定任务具有精细的权限。
- 它们具有对特定存储库和帐户的范围访问权限。
- 他们有自己的标识,您可以在审核日志中进行跟踪。
有关应用可以执行的功能详细信息,请参阅 关于创建GitHub应用。
后续步骤
现在,你已经规划了哪些角色将帮助你的团队在GitHub上高效且安全,请为所需的权限创建自定义角色。 稍后,你将创建团队来管理大规模角色分配。 请参阅“在企业中创建自定义角色”。