Informationen über Richtlinien für Sicherheitseinstellungen in deinem Unternehmen
Du kannst Richtlinien zur Kontrolle der Sicherheitseinstellungen für Organisationen, die deinem Unternehmen gehören, auf GitHub Enterprise Server erzwingen. Standardmäßig können Organisationseigentümer Sicherheitseinstellungen verwalten.
Zwei-Faktor-Authentifizierung für Organisationen in deinem Enterprise vorschreiben
Wenn Ihre GitHub Enterprise Server-Instance LDAP oder die integrierte Authentifizierung verwendet, können Unternehmensbesitzer vorschreiben, dass Organisationsmitglieder, Abrechnungsmanager und externe Projektmitarbeiter in allen Organisationen, die sich im Besitz des Unternehmens befinden, die Zwei-Faktor-Authentifizierung zum Schutz ihrer Benutzerkonten verwenden.
Bevor du die Zwei-Faktor-Authentifizierung für alle Organisationen im Besitz deines Unternehmens fordern kannst, musst du diese für dein eigenes Konto aktivieren. Weitere Informationen findest du unter Konto durch Zwei-Faktor-Authentifizierung (2FA) schützen.
Bevor du die Zwei-Faktor-Authentifizierung vorschreiben, empfehlen wir, Organisationsmitglieder, externe Mitarbeiter und Abrechnungsmanager über diesen Schritt zu informieren und sie darum zu bitten, die Zwei-Faktor-Authentifizierung für ihre Konten einzurichten. Organisationsinhaber können auf der Personenseite ihrer Organisationen sehen, ob Mitglieder und externe Mitarbeiter bereits die 2FA verwenden. Weitere Informationen findest du unter Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist.
Die Überprüfung der Zwei-Faktor-Authentifizierung erfordert die genaue Zeit auf dem Gerät des Clients und dem Server. Websiteadministratoren müssen sicherstellen, dass die Zeitsynchronisierung konfiguriert und genau ist. Weitere Informationen findest du unter Zeitsynchronisierung konfigurieren.
Warning
- Wenn du für dein Unternehmen die Zwei-Faktor-Authentifizierung verlangst, werden externe Projektmitarbeiter, einschließlich Bot-Konten, in allen Organisationen im Besitz deines Unternehmens, die keine 2FA verwenden, aus der Organisation entfernt und verlieren den Zugriff auf die Repositorys. Gleichzeitig verlieren sie auch den Zugriff auf ihre Forks der privaten Repositorys der Organisation. Du kannst ihre Zugriffsberechtigungen und Einstellungen wiederherstellen, wenn sie die 2FA für ihre Konten innerhalb von drei Monaten ab ihrer Entfernung aus der Organisation aktivieren. Weitere Informationen findest du unter Reaktivieren eines ehemaligen Mitglieds deiner Organisation.
- Alle externen Projektmitarbeiter der Organisationen im Besitz deines Unternehmens, die die 2FA für ihr Konto deaktivieren, nachdem du diese vorgeschrieben hast, werden automatisch aus der Organisation entfernt. Mitglieder und Abrechnungs-Manager, die die 2FA deaktivieren, können erst dann auf Organisationsressourcen zugreifen, wenn sie sie erneut aktivieren.
- Wenn du der einzige Besitzer eines Unternehmens bist, das die Zwei-Faktor-Authentifizierung vorschreibt, kannst du diese für dein Benutzerkonto nicht deaktivieren, ohne die erforderliche 2FA für das gesamte Unternehmen zu deaktivieren.
-
Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.
-
Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.
-
Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.
-
Überprüfe unter „Two-factor authentication“ (Zwei-Faktor-Authentifizierung) die Informationen zum Ändern der Einstellung. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu Aktuelle Konfigurationen deiner Organisationen anzeigen aus.
-
Wähle unter "zweistufige Authentifizierung" die Option Zwei-Faktor-Authentifizierung für alle Organisationen in deinem Unternehmen vorschreiben und klicke dann auf Speichern.
-
Wenn du dazu aufgefordert wirst, lies die Informationen darüber, wie sich die verpflichtende 2FA auf den Benutzerzugriff auf Organisationsressourcen auswirkt. Klicke auf Confirm, um die Änderung zu bestätigen.
-
Wenn externe Projektmitarbeiter aus den Organisationen im Besitz deines Unternehmens entfernt werden, wird empfohlen, ihnen optional eine Einladung zum Wiederherstellen ihrer früheren Berechtigungen und ihres Zugriffs auf deine Organisation zu senden. Vor der Annahme dieser Einladung müssen diese Benutzer die Zwei-Faktor-Authentifizierung aktivieren.
Verwalten von SSH-Zertifizierungsstellen für dein Unternehmen
Sie können eine SSH-Zertifizierungsstelle (CA) verwenden, um Mitgliedern jeder Organisation, die zu deinem Unternehmen gehört, den Zugriff auf Repositorys dieser Organisation mit von Ihnen bereitgestellten SSH-Zertifikaten zu ermöglichen. Du kannst festlegen, dass Mitglieder für den Zugriff auf Organisationsressourcen SSH-Zertifikate verwenden müssen, sofern SSH nicht in deinem Repository deaktiviert ist. Für weitere Informationen siehe „Informationen zu SSH-Zertifizierungsstellen“.
Wenn Du die einzelnen Client-Zertifikate ausstellst, musst Du eine Erweiterung einfügen, die festlegt, für welchen GitHub Enterprise Server-Benutzer das Zertifikat ist. Weitere Informationen findest du unter Informationen zu SSH-Zertifizierungsstellen.
Eine SSH-Zertifizierungsstelle hinzufügen
Wenn du für dein Unternehmen SSH-Zertifikate benötigst, sollten Unternehmensmitglieder eine spezielle URL für Git-Vorgänge über SSH verwenden. Weitere Informationen findest du unter Informationen zu SSH-Zertifizierungsstellen.
Zertifizierungsstellen können jeweils nur in ein Konto in GitHub Enterprise Server hochgeladen werden. Wenn eine SSH-Zertifizierungsstelle einem Organisations- oder Unternehmenskonto hinzugefügt wurde, kann dieselbe Zertifizierungsstelle keinem weiteren Organisations- oder Unternehmenskonto in GitHub Enterprise Server hinzugefügt werden.
Wenn Sie eine Zertifizierungsstelle einem Unternehmen und eine andere Zertifizierungsstelle einer Organisation im Unternehmen hinzufügen, kann der Zugriff auf die Repositorys der Organisation über beide Zertifizierungsstellen erfolgen.
-
Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.
-
Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.
-
Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.
-
Klicke rechts neben „SSH-Zertifizierungsstellen“ auf Neue Zertifizierungsstelle.
-
Unter „Key" (Schlüssel) füge Deinen öffentlichen SSH-Schlüssel ein.
-
Klicke auf Zertifizierungsstelle hinzufügen.
-
Um optional von den Mitgliedern zu verlangen, SSH-Zertifikate zu verwenden, wähle SSH-Zertifikate verlangen aus, und klicke dann auf Speichern.
Note
Wenn du SSH-Zertifikate benötigst, können sich Benutzer nicht authentifizieren, um auf die Repositorys der Organisation über HTTPS oder mit einem nicht signierten SSH-Schlüssel zuzugreifen.{ % elsif ghec %} Dies ist unabhängig davon, ob der SSH-Schlüssel für eine Organisation autorisiert ist, die eine Authentifizierung mit einem externen Identitätssystem erfordert.
Die Anforderung gilt nicht für autorisierte GitHub Apps (einschließlich Benutzer-zu-Server-Tokens), Deploy-Schlüssel oder für GitHub Funktionen wie , die vertrauenswürdige Umgebungen innerhalb des GitHub Ökosystems sind.
Eine SSH-Zertifizierungsstelle löschen
Das Löschen einer Zertifizierungsstelle kann nicht rückgängig gemacht werden. Wenn du dieselbe Zertifizierungsstelle in Zukunft wieder verwenden möchtest, musst du sie erneut hochladen.
-
Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.
-
Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.
-
Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.
-
Klicke unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die du löschen möchtest, auf Löschen.
-
Lies die Warnung, und klicke dann auf Verstanden, Zertifizierungsstelle löschen.
Upgraden einer SSH-Zertifizierungsstelle
Zertifizierungsstellen, die vor GitHub Enterprise Server-Version 3.13 in Ihr Unternehmen hochgeladen wurden, lassen die Nutzung von Zertifikaten ohne Ablaufdatum zu. Weitere Informationen dazu, warum für neue Zertifizierungsstellen jetzt Ablauftermine erforderlich sind, finden Sie unter „Informationen zu SSH-Zertifizierungsstellen“. Sie können eine vorhandene Zertifizierungsstelle upgraden, um zu verhindern, dass sie Zertifikate ohne Ablaufdatum ausgibt. Für eine optimale Sicherheit sollten Sie unbedingt alle Zertifizierungsstellen upgraden, sobald Sie sich vergewissert haben, dass Sie nicht auf Zertifikate ohne Ablaufdatum angewiesen sind.
-
Klicken Sie in der oberen rechten Ecke von GitHub Enterprise Server auf Ihr Profilfoto und dann auf Unternehmenseinstellungen.
-
Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.
-
Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.
-
Klicken Sie unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die Sie upgraden möchten, auf Upgrade.
-
Lesen Sie die Warnung, und klicken Sie dann auf Upgrade.
Nach dem Upgrade der Zertifizierungsstelle werden Zertifikate ohne Ablaufdatum abgelehnt, die von der betreffenden Zertifizierungsstelle signiert wurden.