Примечание.
Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).
О поддержке политик условного доступа
Когда ваше предприятие использует OIDC SSO, GitHub вы будете автоматически использовать условия политики условного доступа (CAP) вашего IDP для проверки взаимодействия с GitHub использованием веб-интерфейса участниками или изменением IP-адресов, а также для каждой аутентификации с personal access token помощью SSH-ключа, связанного с пользовательской учётной записью.
Примечание.
Защита CAP для веб-сеансов в настоящее время находится в Публичный предварительный просмотр и может измениться.
Если поддержка IDP CAP уже включена для вашего предприятия, вы можете выбрать расширенную защиту веб-сеансов из параметров безопасности проверки подлинности предприятия. Если защита веб-сеансов включена, и условия IP-адресов пользователя не удовлетворены, они могут просматривать и фильтровать все пользовательские ресурсы, но не могут просматривать сведения о результатах уведомлений, поиска, личных панелей мониторинга или главных репозиториев.
GitHub поддерживает CAP для любого корпоративный с управляемыми пользователями места, где включен единый вход OIDC. Владельцы предприятия могут использовать эту конфигурацию списка разрешенных IP-адресов вместо GitHubсписка разрешений IP-адресов и сделать это после настройки единого входа OIDC. Дополнительные сведения о списках разрешений IP см. в разделе [AUTOTITLE и Ограничение сетевого трафика в вашей организации с помощью списка разрешений IP-адресов](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-allowed-ip-addresses-for-your-organization).
- GitHub применяет условия IP-адреса поставщика удостоверений, но не может применять условия соответствия устройств.
- Политики многофакторной проверки подлинности применяются только в точке входа в idP.
Дополнительные сведения об использовании OIDC смEnterprise Managed Users. в разделе AUTOTITLE и AUTOTITLE.
Сведения о CAP и ключ развертывания
Ключ развертывания — это ключ SSH, предоставляющий доступ к отдельному репозиторию. Так как ключ развертывания не выполняют операции от имени пользователя, условия IP-адреса CAP не применяются к каким-либо запросам, прошедшим проверку подлинности с помощью ключ развертывания. Дополнительные сведения см. в разделе Управление ключами развертывания.
Рекомендации по интеграции и автоматизации
GitHub отправляет исходный IP-адрес в идентификатор поставщика удостоверений для проверки с помощью CAP. Чтобы убедиться, что действия и приложения не блокируются CAP вашего поставщика удостоверений, вам необходимо внести изменения в конфигурацию.
Предупреждение
Если вы используете GitHub Enterprise Importer для переноса организации из экземпляр GitHub Enterprise Server, обязательно используйте учетную запись службы, которая исключена из capa ID в противном случае миграция может быть заблокирована.
GitHub Actions
Действия, которые используются personal access token , скорее всего, будут заблокированы cap вашего поставщика удостоверений. Рекомендуется создать personal access tokenучетную запись службы, которая затем исключена из элементов управления IP в CAP поставщика удостоверений.
Если вы не можете использовать учетную запись службы, другой вариант для разблокировки действий, использующих personal access tokens, — разрешить диапазоны IP-адресов, используемые GitHub Actions. Дополнительные сведения см. в разделе О IP-адресах GitHub.
GitHub Codespaces
GitHub Codespaces Может быть недоступно, если ваше предприятие использует единый вход OIDC с CAP для ограничения доступа по IP-адресам. Это связано с тем, что пространства кода создаются с динамическими IP-адресами, которые, скорее всего, заблокируются в CAP поставщика удостоверений. Другие политики CAP также могут повлиять на GitHub Codespacesдоступность в зависимости от конкретной настройки политики.
github.dev Редактор
Редактор github.dev может быть недоступен, если ваше предприятие использует единый вход OIDC с CAP для ограничения доступа по IP-адресам. Это связано с тем, что зависит от динамических IP-адресов, которые, скорее всего github.dev , capp вашего поставщика удостоверений будет блокировать. Другие политики CAP также могут повлиять на github.devдоступность в зависимости от конкретной настройки политики.
GitHub Apps и OAuth apps.
Когда GitHub Apps и OAuth apps войдите в систему и выполните запросы от имени этого пользователя, GitHub будет отправлять IP-адрес сервера приложения в идентификатор поставщика удостоверений для проверки. Если IP-адрес сервера приложения не проверен CAP вашего поставщика удостоверений, запрос не будет выполнен.
При GitHub Apps вызове GitHub API, выполняющего роль самого приложения или в качестве установки, эти вызовы не выполняются от имени пользователя. Так как cap поставщика удостоверений выполняет и применяет политики к учетным записям пользователей, эти запросы приложений не могут быть проверены в отношении CAP и всегда разрешены. Дополнительные сведения о GitHub Apps проверке подлинности как себя или в качестве установки см. в разделе Об аутентификации с помощью приложения GitHub.
Вы можете связаться с владельцами приложений, которые необходимо использовать, запросить их диапазоны IP-адресов и настроить CAP вашего поставщика удостоверений, чтобы разрешить доступ из этих диапазонов IP-адресов. Если не удается связаться с владельцами, можно просмотреть журналы входа в IdP, чтобы проверить IP-адреса, указанные в запросах, а затем внести эти адреса в список разрешенных.
Если вы не хотите разрешать все диапазоны IP-адресов для всех приложений предприятия, вы также можете исключить установленные GitHub Apps и авторизованные из списка разрешений поставщика удостоверений OAuth apps . При этом эти приложения будут продолжать работать независимо от исходного IP-адреса. Дополнительные сведения см. в разделе Применение политик для параметров безопасности в вашем предприятии.
Дополнительные материалы
- Использование условия расположения в политике условного доступа в Microsoft Learn