Skip to main content

关于对 IdP 的条件访问策略的支持

当您的企业使用 OIDC SSO 时,GitHub 将使用 IdP 的条件访问策略 (CAP) 验证对您的企业及其资源的访问。

要使用身份提供程序管理企业中的用户,必须为企业启用 企业托管用户,这可用于 GitHub Enterprise Cloud。 更多信息请参阅“关于 企业托管用户”。

Note: OpenID Connect (OIDC) and Conditional Access Policy (CAP) support for 企业托管用户 is in public beta and only available for Azure AD.

关于对条件访问策略的支持

When your enterprise uses OIDC SSO, GitHub will automatically use your IdP's conditional access policy (CAP) IP conditions to validate user interactions with GitHub, when members change IP addresses, and each time a personal access token or SSH key is used.

对于启用 OIDC SSO 的任何 具有托管用户的企业,CAP 支持都会自动启用,并且无法禁用。 GitHub 强制执行 IdP 的 IP 条件,但不强制执行设备合规性条件。

有关将 OIDC 与 企业托管用户 配合使用的更多信息,请参阅“为企业托管用户配置 OIDC”和“从 SAML 迁移到 OIDC”。

关于将 CAP 与 IP 允许列表一起使用

我们建议您禁用企业帐户的 IP 允许列表,并依靠 IdP 的 CAP。 如果您为企业启用 IP 允许列表,并且还利用 IdP 的 CAP,则将强制执行 IP 允许列表和 CAP。 如果限制或拒绝用户的 IP 地址,则请求将失败。 有关 IP 允许列表的更多信息,请参阅“在企业中实施安全设置策略”。

集成和自动化的注意事项

GitHub 将原始 IP 地址发送到您的 IdP,以便对您的 CAP 进行验证。 要确保操作和应用程序未被 IdP 的 CAP 阻止,您需要对配置进行更改。

Warning: If you use GitHub Enterprise Importer to migrate an organization from 您的 GitHub Enterprise Server 实例, make sure to use a service account that is exempt from Azure AD's CAP otherwise your migration may be blocked.

GitHub Actions

使用个人访问令牌的操作可能会被 IdP 的 CAP 阻止。 我们建议由服务帐户创建个人访问令牌,然后从 IdP CAP 中的 IP 控制中免除该帐户。

如果无法使用服务帐户,则取消阻止使用个人访问令牌的操作的另一个选项是允许 GitHub Actions 使用的 IP 范围。 更多信息请参阅“关于 GitHub 的 IP 地址”。

GitHub 应用程序 和 OAuth 应用程序

当 GitHub 应用程序 和 OAuth 应用程序 代表成员发出请求时,GitHub 会将应用程序服务器的 IP 地址发送到您的 IdP 进行验证。 如果应用程序服务器的 IP 地址未通过 IdP 的 CAP 验证,则请求将失败。

您可以联系要使用的应用程序的所有者,询问他们的 IP 范围,并配置 IdP 的 CAP 以允许从这些 IP 范围进行访问。 如果您无法联系所有者,可以查看 IdP 登录日志以查看请求中看到的 IP 地址,然后允许列出这些地址。

您还可以为已安装的 GitHub 应用程序 启用 IP 允许列表配置。 启用后,无论原始 IP 地址如何,所有 GitHub 应用程序 和 OAuth 应用程序 都将继续工作。 更多信息请参阅“在企业中实施安全设置策略”。