Acerca de las restricciones de tráfico de red
Predeterminadamente, los usuarios autorizados pueden acceder a tu empresa desde cualquier dirección IP. Puedes restringir el acceso a los recursos que pertenezcan a las organizaciones dentro de la cuenta empresarial mediante la configuración de una lista de direcciones IP permitidas. Por ejemplo, puedes permitir el acceso desde la única dirección IP de tu red de oficina. La lista de direcciones IP permitidas bloqueará el acceso a los recursos privados a través de la web, la API y de Git desde cualquier dirección IP que no esté en la lista de direcciones permitidas.
La lista filtrará cualquier navegación a los recursos protegidos por una lista de direcciones IP permitidas, incluido lo siguiente:
- Nombre de usuario y contraseña con autenticación de GitHub o SSO de SAML
- Personal access token
- Claves SSH
Todas las credenciales de usuario, incluidas las que pertenecen a los administradores, están sujetas a comprobaciones de lista de direcciones IP permitidas. Las listas de direcciones IP permitidas no se aplican al tráfico dirigido a repositorios públicos.
Si tu empresa usa Enterprise Managed Users con Azure AD y OIDC, puedes elegir si quieres usar la lista de direcciones IP permitidas de GitHub o usar las restricciones de lista de permitidos para el proveedor de identidades (IdP). Si tu empresa no usa Enterprise Managed Users con Azure y OIDC, puedes usar la característica de lista de permitidos de GitHub.
Acerca de la lista de direcciones IP permitidas de GitHub
Puedes usar la lista de direcciones IP permitidas de GitHub para controlar el acceso a la empresa y a los recursos que pertenecen a las organizaciones de tu empresa.
Puedes aprobar el acceso para una dirección IP única o para un rango de ellas utilizando notación CIDR. Para más información, vea "Notación CIDR" en Wikipedia.
Para aplicar la lista de IP permitidas, primero debes agregar direcciones a la lista, y después habilitarla. Tras completar la lista, puedes comprobar si cualquiera de las entradas habilitadas de la lista de direcciones IP permitidas permitiría una dirección IP determinada en la lista.
Debes agregar tu dirección IP actual o un rango coincidente antes de habilitar la lista de permisos de IP. Cuando habilitas la lista de direcciones permitidas, las direcciones IP que configuraste se agregan inmediatamente a las listas de direcciones permitidas de las organizaciones en tu empresa. Si inhabilitas la lista de direcciones permitidas, las direcciones se eliminan de las listas de direcciones permitidas de la organización.
Los propietarios de la organización pueden agregar entradas adicionales a la lista de permitidos para sus organizaciones, pero no pueden administrar las entradas heredadas de la lista de permitidos de la cuenta de empresa, y los propietarios de la empresa no pueden administrar las entradas agregadas a la lista de permitidos de la organización. Para más información, consulta "Administración de las direcciones IP permitidas en tu organización".
Puedes elegir agregar automáticamente cualquier dirección IP a tu lista de direcciones permitidas para las GitHub Apps que están instaladas en tu empresa. El creador de una GitHub App puede configurar una lista de direcciones permitidas para su aplicación, las cuales especifiquen las direcciones IP en las cuales se ejecuta esta. Al heredar la lista de direcciones permitidas en la tuya, estás evitando las solicitudes de conexión de la aplicación que se está rehusando. Para obtener más información, consulte "Permitir el acceso mediante GitHub Apps".
Acerca de la lista de permitidos del proveedor de identidades
Si usas Enterprise Managed Users con Azure AD y OIDC, puedes usar la lista de permitidos del proveedor de identidades.
El uso de la lista de permitidos del proveedor de identidades desactiva las configuraciones de la lista de direcciones IP permitidas de GitHub para todas las organizaciones de tu empresa y desactiva las API de GraphQL para habilitar y administrar listas de direcciones IP permitidas.
De forma predeterminada, el proveedor de identidades ejecuta el CAP en el inicio de sesión interactivo de SAML o OIDC inicial a GitHub para cualquier configuración de lista de direcciones IP permitidas que elijas.
El CAP de OIDC solo se aplica a las solicitudes a la API mediante un token de usuario a servidor, como un token para un OAuth App o un GitHub App que actúa en nombre de un usuario. El CAP de OIDC no se aplica cuando un GitHub App usa un token de servidor a servidor. Para obtener más información, consulta "Autenticación con GitHub Apps" y "Acerca de la compatibilidad con la directiva de acceso condicional del proveedor de identidades".
Para garantizar un uso sin problemas del CAP de OIDC mientras se sigue aplicando la directiva a los tokens de usuario a servidor, debes copiar todos los intervalos IP de cada GitHub App que la empresa usa en la directiva de proveedor de identidades.
Uso de la lista de direcciones IP permitidas de GitHub
Habilitación de la lista de direcciones IP permitidas de GitHub
-
En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations.
2. Junto a la organización, haga clic en Settings.
-
En la sección "Seguridad" de la barra lateral, haga clic en Seguridad de autenticación.
-
En "Lista de direcciones IP permitidas", habilita la lista de direcciones IP permitidas.
-
Si usas Enterprise Managed Users con OIDC, selecciona el menú desplegable y haz clic en GitHub.
Selecciona Habilitar lista de direcciones IP permitidas.
-
Si no usas Enterprise Managed Userscon OIDC, selecciona Habilitar lista de direcciones IP permitidas.
-
-
Haga clic en Save(Guardar).
Agregar una dirección IP permitida
Puedes crear una lista de direcciones IP permitidas agregando entradas que contienen una dirección IP o un intervalo de direcciones. Cuando hayas terminado de agregar entradas, puedes comprobar si cualquiera de las entradas habilitadas de la lista permitiría una dirección IP determinada.
Antes de que la lista restrinja el acceso a los activos privados propiedad de las organizaciones de tu empresa, también debes habilitar las direcciones IP permitidas.
Nota: GitHub está implementando gradualmente la compatibilidad con IPv6. A medida que los servicios de GitHub agregan compatibilidad con IPv6, empezaremos a reconocer las direcciones IPv6 de los usuarios de GitHub. Para evitar posibles interrupciones de acceso, asegúrate de que has agregado las direcciones IPv6 necesarias a tu lista de direcciones IP permitidas.
-
En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.
-
En la lista de empresas, da clic en aquella que quieras ver.
-
En la barra lateral de la cuenta de empresa, haga clic en Configuración.
-
En la barra lateral de la izquierda, haz clic en Seguridad de autenticación.
1. En la parte inferior de la sección "lista de direcciones IP permitidas", ingresa una dirección IP o un rango de direcciones en notación CIDR.
1. Opcionalmente, ingresa una descripción de la dirección o rango de direcciones IP permitidas.
1. Haga clic en Agregar.
1. Opcionalmente, comprueba si cualquiera de las entradas habilitadas de la lista permitiría una dirección IP determinada. Para obtener más información, consulta "Comprobación de permiso para una dirección IP".
Permitir el acceso mediante GitHub Apps
Si estás utilizando una lista de direcciones permitidas, también puedes elegir agregar automáticamente a ella cualquier dirección IP que hayas configurado para las GitHub Apps que hayas instalado en tu empresa.
Si selecciona Enable IP allow list configuration for installed GitHub Apps (Habilitar la configuración de la lista de direcciones IP permitidas para las aplicaciones de GitHub instaladas) en su configuración de lista de direcciones permitidas, las direcciones IP de las GitHub Apps instaladas se agregarán a su lista de direcciones permitidas. Esto pasa sin importar si tu lista de direcciones permitidas se encuentra habilitada actualmente. Si instalas una GitHub App y luego el creador de dicha aplicación cambia las direcciones en su lista de direcciones permitidas, tu lista se actualizará automáticamente con dichos cambios.
Puedes identificar las direcciones IP que se agregaron automáticamente desde GitHub Apps si revisas el campo de descripción. La descripción de estas direcciones IP es: "Managed by the NAME GitHub App". A diferencia de las direcciones que agregas manualmente, no puedes editar, borrar o inhabilitar las direcciones IP que se agregan automáticamente desde las GitHub Apps.
Nota: Las direcciones en la lista de direcciones IP permitidas de GitHub App solo afectan las solicitudes realizadas por las instalaciones de GitHub App. La adición automática de una direcci´no IP de una GitHub App hacia una lista de direcciones permitidas de una organización no permite el acceso a un usuario de GitHub Enterprise Cloud que se conecte desde dicha dirección IP.
Para más información sobre cómo crear una lista de permitidos para una GitHub App que ha creado, vea "Administración de direcciones IP permitidas para una aplicación de GitHub".
Para habilitar la adición automática de direcciones IP para las GitHub Apps:
-
En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.
-
En la lista de empresas, da clic en aquella que quieras ver.
-
En la barra lateral de la cuenta de empresa, haga clic en Configuración.
-
En la barra lateral de la izquierda, haz clic en Seguridad de autenticación.
-
Selecciona Habilitar la configuración de lista de direcciones IP permitidas para las aplicaciones de GitHub instaladas. Si usa Enterprise Managed Users con OIDC, seleccione primero GitHub como configuración de la lista de direcciones IP permitidas y, a continuación, seleccione Habilitar la configuración de lista de direcciones IP permitidas para las aplicaciones de GitHub instaladas.
-
Haga clic en Save(Guardar).
Editar una dirección IP permitida
Puedes editar una entrada en la lista de IP permitidas. Si editas una entrada habilitada, los cambios se aplicarán inmediatamente.
Una vez finalizada la edición de entradas, puedes comprobar si la lista de permitidos permitirá una conexión desde una dirección IP determinada después de habilitar la lista.
-
En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.
-
En la lista de empresas, da clic en aquella que quieras ver.
-
En la barra lateral de la cuenta de empresa, haga clic en Configuración.
-
En la barra lateral de la izquierda, haz clic en Seguridad de autenticación.
1. En "IP allow list" (Lista de IP permitidas), a la derecha de la entrada que quiere editar, haga clic en Edit (Editar).
1. Teclea una dirección IP, o rango de direcciones, en notación CIDR.
1. Teclea una descripción del rango de direcciones IP permitidas.
-
Haga clic en Update(Actualizar).
-
Opcionalmente, comprueba si cualquiera de las entradas habilitadas de la lista permitiría una dirección IP determinada. Para obtener más información, consulta "Comprobación de permiso para una dirección IP".
Comprobación de permiso para una dirección IP
Puedes comprobar si cualquiera de las entradas habilitadas de la lista de direcciones IP permitidas permitiría una dirección IP determinada, incluso si la lista no está habilitada actualmente.
-
En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.
-
En la lista de empresas, da clic en aquella que quieras ver.
-
En la barra lateral de la cuenta de empresa, haga clic en Configuración.
-
En la barra lateral de la izquierda, haz clic en Seguridad de autenticación.
1. En "Comprobar la dirección IP", escribe una dirección IP.
Eliminar una dirección IP permitida
-
En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.
-
En la lista de empresas, da clic en aquella que quieras ver.
-
En la barra lateral de la cuenta de empresa, haga clic en Configuración.
-
En la barra lateral de la izquierda, haz clic en Seguridad de autenticación.
1. En "Lista de IP permitidas", a la derecha de la entrada que quiere editar, haga clic en Edit.
1. Para eliminar permanentemente la entrada, haga clic en Sí, eliminar esta entrada de lista de direcciones IP permitidas.
Uso de la lista de permitidos del proveedor de identidades
Nota: El uso de la lista de permitidos de IdP solo se admite para Enterprise Managed Users con Azure AD y OIDC.
-
En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations.
2. Junto a la organización, haga clic en Settings.
-
En la sección "Seguridad" de la barra lateral, haga clic en Seguridad de autenticación.
-
En "Lista de direcciones IP permitidas", selecciona la lista desplegable y haz clic en Proveedor de identidades.
-
Opcionalmente, para permitir que los GitHub y OAuth Apps instalados accedan a la empresa desde cualquier dirección IP, selecciona Omitir comprobación de proveedor de identidades para aplicaciones.
-
Haga clic en Save(Guardar).
Utilizar GitHub Actions con un listado de direcciones IP permitidas
Advertencia: Si usas una lista de direcciones IP permitidas y también quieres usar GitHub Actions, debes usar ejecutores autohospedados o GitHub ejecutores más grandes hospedados con un intervalo de direcciones IP estático. Para obtener más información, consulta "Hospedaje de ejecutores propios" o "Uso de ejecutores más grandes".
Para permitir que los ejecutores hospedados o los ejecutores más grandes se comuniquen con GitHub, agrega la dirección IP o el intervalo de direcciones IP de los ejecutores a la lista de direcciones IP permitidas que has configurado para tu empresa.