Acerca de las políticas para los ajustes de seguridad en tu empresa
Puedes requerir políticas para controlar los ajustes de seguridad para las organizaciones que le pertenecen a tu empresa en GitHub Enterprise Server. Predeterminadamente, los propietarios de organización pueden administrar los ajustes de seguridad.
Requerir autenticación bifactorial para las organizaciones de tu empresa
Si tu instancia de GitHub Enterprise Server usa LDAP o la autenticación integrada, los propietarios de empresa pueden requerir que los miembros de la organización, los administradores de facturación y los colaboradores externos de todas las organizaciones que pertenecen a una empresa usen la autenticación en dos fases para proteger sus cuentas de usuario.
Antes de poder exigir la autenticación en dos fases en todas las organizaciones que pertenezcan a tu empresa, debes habilitarla en tu propia cuenta. Para más información, consulta Asegurar tu cuenta con autenticación de dos factores (2FA).
Antes de solicitar el uso de la autenticación de dos factores, te recomendamos notificar a los miembros de la organización, a los colaboradores externos y a los gerentes de facturación y pedirles que configuren la 2FA para sus cuentas. Los propietarios de la organización pueden ver si los miembros y los colaboradores externos ya usan la autenticación en dos fases en la página "People" de cada organización. Para más información, consulta Ver si los usuarios en tu organización han habilitado 2FA.
La comprobación de códigos de autenticación en dos fases requiere una hora precisa en el dispositivo y el servidor del cliente. Los administradores del sitio deben asegurarse de que la sincronización de hora está configurada y es precisa. Para más información, consulta "Configuración de la sincronización de la hora".
Warning
- Cuando exijas que se use la autenticación en dos fases para tu empresa, los colaboradores externos (incluidas las cuentas bot) de todas las organizaciones que sean propiedad de tu empresa que no la utilicen se eliminarán de la organización y perderán el acceso a sus repositorios. También perderán acceso a las bifurcaciones de sus repositorios privados de la organización. Puedes restablecer sus privilegios y configuración de acceso si habilitan la autenticación en dos fases en sus cuentas en un plazo de tres meses de su eliminación de la organización. Para más información, consulta Restablecer a un miembro anterior de su organización.
- Todo colaborador externo de cualquiera de las organizaciones propiedad de tu empresa que deshabilite la autenticación en dos fases para su cuenta se eliminará automáticamente de la organización. Los miembros y administradores de facturación que deshabilitan la autenticación en dos fases no podrán acceder a los recursos de la organización hasta que vuelvan a habilitarla.
- Si eres el único propietario de una empresa que exige la autenticación en dos fases, no podrás deshabilitarla para tu cuenta de usuario sin deshabilitar la autenticación en dos fases obligatoria para la empresa.
-
En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
En "Autenticación de dos factores", revisa la información sobre cómo modificar los parámetros. De manera opcional, para ver la configuración actual en todas las organizaciones de la cuenta de empresa antes de cambiar el valor, haz clic en Ver las configuraciones actuales de las organizaciones.
-
En "Two-factor authentication", selecciona Require two-factor authentication for the enterprise and all of its organizations y, a continuación, haz clic en Save.
-
Si se solicita, lee la información sobre cómo el acceso de usuario a los recursos de la organización se verá afectado por el requisito de la autenticación en dos fases. Haz clic en Confirm para confirmar el cambio.
-
Opcionalmente, si algún colaborador externo se elimina de las organizaciones que son propiedad de tu empresa, también te recomendamos enviarle una invitación para que restablezca sus antiguos privilegios y el acceso a tu organización. Cada persona debe habilitar la autenticación en dos fases para poder aceptar tu invitación.
Administrar las autoridades de certificados SSH en tu empresa
Puedes utilizar una autoridad de certificados SSH (CA) para permitir que los miembros de cualquier organización que pertenezca a tu empresa accedan a los repositorios de esta utilizando certificados SSH que tu proporciones. Puedes solicitar que los miembros usen certificados SSH para acceder a los recursos de la organización, a menos que el acceso por SSH esté inhabilitado en tu repositorio. Para obtener más información, consulta Acerca de las autoridades de certificación de SSH.
Cuando emites cada uno de los certificados de cliente, debes incluir una extensión que especifique para cuál usuario de GitHub Enterprise Server es cada uno de ellos. Para obtener más información, vea «Acerca de las autoridades de certificación de SSH».
Agregar una autoridad de certificado de SSH
Si requieres certificados SSH para tu empresa, los miembros empresariales deberán utilizar una URL especial para las operaciones de Git por SSH. Para más información, consulta Acerca de las autoridades de certificación de SSH.
Cada entidad de certificación solo se puede cargar en una cuenta en GitHub Enterprise Server. Si se ha agregado una entidad de certificación SSH a una cuenta de organización o de empresa, no puede agregar la misma entidad de certificación a otra cuenta de organización o de empresa en GitHub Enterprise Server.
Si agregas una entidad de certificación a una empresa y otra entidad de certificación a una organización de la empresa, se puede usar cualquiera de las entidades de certificación para acceder a los repositorios de la organización.
-
En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
A la derecha de "Entidades de certificación SSH", haga clic en Nueva CA.
-
Debajo de "Llave", pega tu llave SSH pública.
-
Haga clic en Agregar etiqueta.
-
Opcionalmente, para exigir que los miembros usen certificados SSH, seleccione Exigir certificados SSH y, después, haga clic en Guardar.
Note
Cuando se exijan certificados SSH, los usuarios no podrán autenticarse para acceder a los repositorios de la organización a través de HTTPS o con una clave SSH sin firmar.{ % elsif ghec %}, independientemente de si la clave SSH está autorizada para una organización que exige autenticación mediante un sistema de identidad externo.
El requisito no se aplica a GitHub Apps autorizados (incluidos los tokens de usuario a servidor), la implementación de claves ni a características de GitHub como GitHub Actions, que son entornos de confianza dentro del ecosistema GitHub.
Eliminar una autoridad de certificado de SSH
La eliminación de un CA no se puede deshacer. Si deseas usar la misma CA en el futuro, deberás cargarla nuevamente.
-
En la esquina superior derecha de GitHub Enterprise Server, haz clic en la foto de perfil y luego en Configuración de empresa.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
En "Entidades de certificación SSH", a la derecha de la entidad de certificación que quiera eliminar, haga clic en Eliminar.
-
Lea la advertencia y, después, haga clic en Entiendo, eliminar esta CA.