Observação
O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).
Sobre o suporte a Políticas de Acesso Condicional
Quando sua empresa usa o SSO do OIDC, GitHub usará automaticamente a política de acesso condicional (CAP) do IdP para as condições de IP ao validar interações com GitHub quando os membros usam a interface do usuário da Web ou alteram endereços IP, e para cada autenticação com uma chave personal access token ou chave SSH associada a uma conta de usuário.
Observação
A proteção de CAP para sessões da Web atualmente está em prévia pública e poderá ser alterada.
Se o suporte ao IdP CAP já estiver habilitado para sua empresa, você poderá optar pela proteção estendida para sessões da Web nas configurações de "Authentication security" da empresa. Quando a proteção de sessão da Web está habilitada e as condições de IP de um usuário não são atendidas, ele pode exibir e filtrar todos os recursos de propriedade do usuário, mas não pode exibir os detalhes dos resultados para notificações, pesquisas, painéis pessoais ou repositórios marcados como favoritos.
GitHub oferece suporte a CAP para qualquer empresa com usuários gerenciados em que o SSO OIDC esteja habilitado. Os proprietários corporativos podem optar por usar essa configuração de lista de permissões de IP em vez da lista de GitHubpermissões de IP e podem fazer isso depois que o SSO do OIDC estiver configurado. Para obter mais informações sobre as listas de permissão de IP, confira Como restringir o tráfego de rede para sua empresa com uma lista de permissões de IP e Gerenciar endereços IP permitidos para sua organização.
- GitHub aplica as condições de IP definidas pelo IdP, mas não pode aplicar as condições de conformidade do seu dispositivo.
- As políticas para autenticação multifator são aplicadas apenas no ponto de entrada no IdP.
Para obter mais informações sobre como usar o OIDC com Enterprise Managed Users, consulte Como configurar o OIDC para usuários empresariais gerenciados e Como migrar o SAML para o OIDC.
Sobre a CAP e as chaves de implantação
Uma chave de implantação é uma chave SSH que concede acesso a um repositório individual. Como as chaves de implantação não executam operações em nome de um usuário, as condições de IP da CAP não se aplicam a nenhuma solicitação autenticada com uma chave de implantação. Para saber mais, confira Gerenciar chaves de implantação.
Considerações sobre integrações e automações
GitHub envia o endereço IP de origem ao seu IdP para validação com base na sua CAP. Para garantir que ações e aplicativos não sejam bloqueados pela CAP do IdP, você precisará fazer alterações na configuração.
Aviso
Se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.
GitHub Actions
As ações que usam um personal access token provavelmente serão bloqueadas pelo CAP do IdP. Recomendamos que personal access token sejam criados por uma conta de serviço, que então fica isenta das restrições de IP no CAP do seu IdP.
Se não for possível usar uma conta de serviço, outra opção para desbloquear ações que usam personal access tokens é permitir os intervalos de IP usados por GitHub Actions. Para saber mais, confira Sobre os endereços IP do GitHub.
GitHub Codespaces
GitHub Codespaces talvez não esteja disponível se sua empresa usar o SSO do OIDC com CAP para restringir o acesso por endereços IP. O motivo é que os codespaces são criados com endereços IP dinâmicos, os quais provavelmente serão bloqueados pela CAP do seu IdP. Outras políticas de CAP também podem afetar a disponibilidade de GitHub Codespaces, dependendo da configuração específica da política.
O github.dev editor
O github.dev editor poderá não estar disponível se sua empresa usar o SSO do OIDC com CAP para restringir o acesso por endereços IP. Isso ocorre porque github.dev usa endereços IP dinâmicos que provavelmente serão bloqueados pelo CAP do seu IdP. Outras políticas de CAP também podem afetar a disponibilidade de github.dev, conforme a configuração específica da política.
GitHub Apps e OAuth apps
Quando GitHub Apps e OAuth apps autenticarem um usuário e fizerem solicitações em nome desse usuário, GitHub enviará o endereço IP do servidor do aplicativo ao seu IdP para validação. Se o endereço IP do servidor do aplicativo não for validado pela CAP do IdP, a solicitação falhará.
Quando GitHub Apps fazem chamadas às APIs GitHub agindo como o próprio aplicativo ou como uma instalação, essas chamadas não são realizadas em nome de um usuário. Como a CAP do IdP executa e aplica políticas a contas de usuário, essas solicitações de aplicativo não podem ser validadas na CAP e são sempre permitidas. Para obter mais informações sobre GitHub Apps como autenticar como eles mesmos ou como uma instalação, consulte Sobre a autenticação com um aplicativo GitHub.
Entre em contato com os proprietários dos aplicativos que deseja usar, solicite seus intervalos de IP e configure a CAP do IdP para permitir o acesso desses intervalos de IP. Se não conseguir contatar os proprietários, você poderá examinar os logs de entrada do IdP para examinar os endereços IP vistos nas solicitações e, em seguida, inserir esses endereços na lista de permissões.
Se você não quiser permitir todos os intervalos de IP para todos os aplicativos da sua empresa, também poderá isentar os aplicativos instalados GitHub Apps e autorizados OAuth apps da lista de permissões do IdP. Se fizer isso, esses aplicativos seguirão funcionando independentemente do endereço IP de origem. Para saber mais, confira Aplicando políticas para configurações de segurança na sua empresa.
Leitura adicional
- Usar a condição de localização em uma política de Acesso condicional no Microsoft Learn