Skip to main content

Сведения о поддержке политики условного доступа поставщика удостоверений

Когда ваше предприятие использует единый вход OIDC, GitHub может проверить доступ к вашей организации и его ресурсам с помощью политики условного доступа поставщика удостоверений (CAP).

Кто может использовать эту функцию?

Enterprise Managed Users доступен для новых корпоративных учетных записей GitHub Enterprise Cloud. См . раздел AUTOTITLE.

Примечание.

Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).

О поддержке политик условного доступа

Когда ваше предприятие использует OIDC SSO, GitHub вы будете автоматически использовать условия политики условного доступа (CAP) вашего IDP для проверки взаимодействия с GitHub использованием веб-интерфейса участниками или изменением IP-адресов, а также для каждой аутентификации с personal access token помощью SSH-ключа, связанного с пользовательской учётной записью.

Примечание.

Защита CAP для веб-сеансов в настоящее время находится в Публичный предварительный просмотр и может измениться.

Если поддержка IDP CAP уже включена для вашего предприятия, вы можете выбрать расширенную защиту веб-сеансов из параметров безопасности проверки подлинности предприятия. Если защита веб-сеансов включена, и условия IP-адресов пользователя не удовлетворены, они могут просматривать и фильтровать все пользовательские ресурсы, но не могут просматривать сведения о результатах уведомлений, поиска, личных панелей мониторинга или главных репозиториев.

GitHub поддерживает CAP для любого корпоративный с управляемыми пользователями места, где включен единый вход OIDC. Владельцы предприятия могут использовать эту конфигурацию списка разрешенных IP-адресов вместо GitHubсписка разрешений IP-адресов и сделать это после настройки единого входа OIDC. Дополнительные сведения о списках разрешений IP см. в разделе [AUTOTITLE и Ограничение сетевого трафика в вашей организации с помощью списка разрешений IP-адресов](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-allowed-ip-addresses-for-your-organization).

  • GitHub применяет условия IP-адреса поставщика удостоверений, но не может применять условия соответствия устройств.
  • Политики многофакторной проверки подлинности применяются только в точке входа в idP.

Дополнительные сведения об использовании OIDC смEnterprise Managed Users. в разделе AUTOTITLE и AUTOTITLE.

Сведения о CAP и ключ развертывания

Ключ развертывания — это ключ SSH, предоставляющий доступ к отдельному репозиторию. Так как ключ развертывания не выполняют операции от имени пользователя, условия IP-адреса CAP не применяются к каким-либо запросам, прошедшим проверку подлинности с помощью ключ развертывания. Дополнительные сведения см. в разделе Управление ключами развертывания.

Рекомендации по интеграции и автоматизации

GitHub отправляет исходный IP-адрес в идентификатор поставщика удостоверений для проверки с помощью CAP. Чтобы убедиться, что действия и приложения не блокируются CAP вашего поставщика удостоверений, вам необходимо внести изменения в конфигурацию.

Предупреждение

Если вы используете GitHub Enterprise Importer для переноса организации из экземпляр GitHub Enterprise Server, обязательно используйте учетную запись службы, которая исключена из capa ID в противном случае миграция может быть заблокирована.

GitHub Actions

Действия, которые используются personal access token , скорее всего, будут заблокированы cap вашего поставщика удостоверений. Рекомендуется создать personal access tokenучетную запись службы, которая затем исключена из элементов управления IP в CAP поставщика удостоверений.

Если вы не можете использовать учетную запись службы, другой вариант для разблокировки действий, использующих personal access tokens, — разрешить диапазоны IP-адресов, используемые GitHub Actions. Дополнительные сведения см. в разделе О IP-адресах GitHub.

GitHub Codespaces

GitHub Codespaces Может быть недоступно, если ваше предприятие использует единый вход OIDC с CAP для ограничения доступа по IP-адресам. Это связано с тем, что пространства кода создаются с динамическими IP-адресами, которые, скорее всего, заблокируются в CAP поставщика удостоверений. Другие политики CAP также могут повлиять на GitHub Codespacesдоступность в зависимости от конкретной настройки политики.

github.dev Редактор

Редактор github.dev может быть недоступен, если ваше предприятие использует единый вход OIDC с CAP для ограничения доступа по IP-адресам. Это связано с тем, что зависит от динамических IP-адресов, которые, скорее всего github.dev , capp вашего поставщика удостоверений будет блокировать. Другие политики CAP также могут повлиять на github.devдоступность в зависимости от конкретной настройки политики.

GitHub Apps и OAuth apps.

Когда GitHub Apps и OAuth apps войдите в систему и выполните запросы от имени этого пользователя, GitHub будет отправлять IP-адрес сервера приложения в идентификатор поставщика удостоверений для проверки. Если IP-адрес сервера приложения не проверен CAP вашего поставщика удостоверений, запрос не будет выполнен.

При GitHub Apps вызове GitHub API, выполняющего роль самого приложения или в качестве установки, эти вызовы не выполняются от имени пользователя. Так как cap поставщика удостоверений выполняет и применяет политики к учетным записям пользователей, эти запросы приложений не могут быть проверены в отношении CAP и всегда разрешены. Дополнительные сведения о GitHub Apps проверке подлинности как себя или в качестве установки см. в разделе Об аутентификации с помощью приложения GitHub.

Вы можете связаться с владельцами приложений, которые необходимо использовать, запросить их диапазоны IP-адресов и настроить CAP вашего поставщика удостоверений, чтобы разрешить доступ из этих диапазонов IP-адресов. Если не удается связаться с владельцами, можно просмотреть журналы входа в IdP, чтобы проверить IP-адреса, указанные в запросах, а затем внести эти адреса в список разрешенных.

Если вы не хотите разрешать все диапазоны IP-адресов для всех приложений предприятия, вы также можете исключить установленные GitHub Apps и авторизованные из списка разрешений поставщика удостоверений OAuth apps . При этом эти приложения будут продолжать работать независимо от исходного IP-адреса. Дополнительные сведения см. в разделе Применение политик для параметров безопасности в вашем предприятии.

Дополнительные материалы