Acerca de las políticas para los ajustes de seguridad en tu empresa
Puedes requerir políticas para controlar los ajustes de seguridad para las organizaciones que le pertenecen a tu empresa en GitHub Enterprise Cloud. Predeterminadamente, los propietarios de organización pueden administrar los ajustes de seguridad.
Requerir autenticación bifactorial para las organizaciones de tu empresa
Note
A partir de marzo de 2023, GitHub exigió que todos los usuarios que contribuyan con código en GitHub.com habiliten una o varias formas de autenticación en dos fases (2FA). Si estaba en un grupo elegible, habría recibido un correo electrónico de notificación cuando ese grupo fue seleccionado para la inscripción, marcando el comienzo de un período de inscripción 2FA de 45 días, y vería banners que le pedirán que se inscribiese en 2FA en GitHub.com. Si no recibió una notificación, no formaba parte de un grupo al que se le exige que habilite 2FA, aunque se recomienda encarecidamente.
Para obtener más información sobre el lanzamiento de la inscripción 2FA, consulta esta entrada de blog.
Enterprise pueden requerir que los miembros de la organización, los administradores de facturación y los colaboradores externos de todas las organizaciones que pertenecen a una empresa usen la autenticación en dos fases para proteger sus cuentas de usuario. Esta directiva no está disponible para empresas con usuarios administrados.
Antes de que requieras 2FA en todas las organizaciones que pertenezcan a tu empresa, debes habilitar la autenticación bifactorial para tu propia cuenta. Para obtener más información, vea «Asegurar tu cuenta con autenticación de dos factores (2FA)».
Antes de solicitar el uso de la autenticación de dos factores, te recomendamos notificar a los miembros de la organización, a los colaboradores externos y a los gerentes de facturación y pedirles que configuren la 2FA para sus cuentas. Los propietarios de la organización pueden ver si los miembros y los colaboradores externos ya usan 2FA en la página Personas de cada organización. Para obtener más información, vea «Ver si los usuarios en tu organización han habilitado 2FA».
Warning
- Cuando requieras que se use la autenticación de dos factores para tu empresa, los miembros, los colaboradores externos y los gerentes de facturación (incluidas las cuentas bot) en todas las organizaciones que sean propiedad de tu empresa que no utilicen 2FA se eliminarán de tu organización y perderán acceso a sus repositorios. También perderán acceso a las bifurcaciones de sus repositorios privados de la organización. Si habilitan la autenticación en dos fases en sus cuentas en un plazo de tres meses a partir de la fecha en que han sido eliminados de la organización, puedes restablecer sus privilegios de acceso y su configuración. Para obtener más información, vea «Restablecer a un miembro anterior de su organización».
- Todo propietario de la organización, miembro, gerente de facturación o colaborador externo en cualquiera de las organizaciones que sean propiedad de tu empresa será automáticamente eliminado de tu organización si inhabilita la autenticación de dos factores de su cuenta después de que hayas habilitado el requisito de autenticación de dos factores.
- Si eres el único propietario de una empresa que requiere autenticación de dos factores, no podrás deshabilitar la 2FA para tu cuenta de usuario sin deshabilitar el requisito de autenticación en dos fases para la empresa.
Note
GitHub.com puede haber seleccionado algunos de los usuarios de la organización para la inscripción obligatoria de autenticación en dos fases, pero no tiene ningún impacto en cómo habilitar el requisito de autenticación en dos fases para las organizaciones de tu empresa. Si habilitas el requisito de 2FA praa organizaciones de tu empresa, todos los usuarios sin 2FA habilitados actualmente se quitarán de la organización, incluidos los necesarios para habilitarlo mediante GitHub.com.
-
En la esquina superior derecha de GitHub, haz clic en la fotografía del perfil.
-
En función de tu entorno, haz clic en Your enterpriseo en Your enterprises y, a continuación, haz clic en la empresa que deseas ver.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
En "Autenticación de dos factores", revisa la información sobre cómo modificar los parámetros. De manera opcional, para ver la configuración actual en todas las organizaciones de la cuenta de empresa antes de cambiar el valor, haz clic en Ver las configuraciones actuales de las organizaciones.
-
En "Two-factor authentication", seleccione Require two-factor authentication for all organizations in your business y, a continuación, haga clic en Save.
-
En caso de que se solicite, lee la información sobre los miembros y colaboradores externos que se eliminarán de las organizaciones que pertenecen a tu empresa. Escriba el nombre de la empresa para confirmar el cambio y, a continuación, haga clic en Remove members & require two-factor authentication.
-
Si algún miembro o colaborador externo es eliminado de las organizaciones que son propiedad de empresa, también te recomendamos enviarle una invitación para reinstalar sus privilegios anteriores y su acceso a tu organización. Cada persona debe habilitar la autenticación de dos factores para poder aceptar tu invitación.
Administrar las autoridades de certificados SSH en tu empresa
Puedes utilizar una autoridad de certificados SSH (CA) para permitir que los miembros de cualquier organización que pertenezca a tu empresa accedan a los repositorios de esta utilizando certificados SSH que tu proporciones. Si su empresa utiliza Enterprise Managed Users, los miembros de la empresa también pueden usar el certificado para acceder a repositorios de los cuales sean propietarios. Puedes solicitar que los miembros usen certificados SSH para acceder a los recursos de la organización, a menos que el acceso por SSH esté inhabilitado en tu repositorio. Para obtener más información, consulte "Acerca de las autoridades de certificación de SSH."
Cuando emites cada uno de los certificados de cliente, debes incluir una extensión que especifique para cuál usuario de GitHub Enterprise Cloud es cada uno de ellos. Para obtener más información, vea «Acerca de las autoridades de certificación de SSH».
Agregar una autoridad de certificado de SSH
Si requieres certificados SSH para tu empresa, los miembros empresariales deberán utilizar una URL especial para las operaciones de Git por SSH. Para obtener más información, vea «Acerca de las autoridades de certificación de SSH».
Cada entidad de certificación solo se puede cargar en una cuenta en GitHub Enterprise Cloud. Si se ha agregado una entidad de certificación SSH a una cuenta de organización o de empresa, no puede agregar la misma entidad de certificación a otra cuenta de organización o de empresa en GitHub Enterprise Cloud.
Si agregas una entidad de certificación a una empresa y otra entidad de certificación a una organización de la empresa, se puede usar cualquiera de las entidades de certificación para acceder a los repositorios de la organización.
-
En la esquina superior derecha de GitHub, haz clic en la fotografía del perfil.
-
En función de tu entorno, haz clic en Your enterpriseo en Your enterprises y, a continuación, haz clic en la empresa que deseas ver.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
A la derecha de "Entidades de certificación SSH", haga clic en Nueva CA.
-
Debajo de "Llave", pega tu llave SSH pública.
-
Haga clic en Agregar etiqueta.
-
Opcionalmente, para exigir que los miembros usen certificados SSH, seleccione Exigir certificados SSH y, después, haga clic en Guardar.
Nota: Cuando se requieren certificados SSH, los usuarios no podrán autenticarse para acceder a los repositorios de la organización a través de HTTPS o con una clave SSH sin firmar
El requisito no se aplica a GitHub Apps autorizados (incluidos los tokens de usuario a servidor), la implementación de claves ni a características de GitHub como GitHub Actions y Codespaces, que son entornos de confianza dentro del ecosistema GitHub.
Administración del acceso a repositorios propiedad del usuario
Puede habilitar o deshabilitar el acceso a repositorios propiedad del usuario con un certificado SSH si su empresa usa cuentas de usuario administradas. Sin embargo, si su empresa usa cuentas personales en GitHub.com, los miembros no pueden usar el certificado para acceder a repositorios de los cuales son propietarios.
-
En la esquina superior derecha de GitHub, haz clic en la fotografía del perfil.
-
En función de tu entorno, haz clic en Your enterpriseo en Your enterprises y, a continuación, haz clic en la empresa que deseas ver.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
En "SSH Certificate Authorities" (Entidades de certificación SSH), seleccione la casilla Access User Owned Repository (Acceso al repositorio propiedad del usuario).
Eliminar una autoridad de certificado de SSH
La eliminación de un CA no se puede deshacer. Si deseas usar la misma CA en el futuro, deberás cargarla nuevamente.
-
En la esquina superior derecha de GitHub, haz clic en la fotografía del perfil.
-
En función de tu entorno, haz clic en Your enterpriseo en Your enterprises y, a continuación, haz clic en la empresa que deseas ver.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
En "Entidades de certificación SSH", a la derecha de la entidad de certificación que quiera eliminar, haga clic en Eliminar.
-
Lea la advertencia y, después, haga clic en Entiendo, eliminar esta CA.
Administración del inicio de sesión único para usuarios no autenticados
Nota: La redirección automática de los usuarios para iniciar sesión está actualmente en versión preliminar pública para Enterprise Managed Users y está sujeta a cambios.
Si la empresa usa Enterprise Managed Users puedes elegir qué verán los usuarios no autenticados cuando intentan acceder a los recursos de la empresa. Para más información sobre Enterprise Managed Users, consulta "Acerca de Enterprise Managed Users".
De forma predeterminada, para ocultar la existencia de recursos privados, cuando un usuario no autenticado intenta acceder a la empresa, GitHub muestra un error 404.
Para evitar confusiones de los desarrolladores, puedes cambiar este comportamiento para que los usuarios se redirijan automáticamente al inicio de sesión único (SSO) a través del proveedor de identidades (IdP). Al habilitar redirecciones automáticas, cualquier persona que visite la dirección URL de cualquiera de los recursos de la empresa podrá ver que el recurso existe. Sin embargo, solo podrán ver el recurso si tienen el acceso adecuado después de autenticarse con el proveedor de identidades.
Note
Si un usuario ha iniciado sesión en su cuenta personal cuando intenta acceder a cualquiera de los recursos de la empresa, se cerrará la sesión automáticamente y se le redirigirá al inicio de sesión único para iniciar sesión en su cuenta de usuario administrada. Para obtener más información, vea «Administración de varias cuentas».
-
En la esquina superior derecha de GitHub, haz clic en la fotografía del perfil.
-
En función de tu entorno, haz clic en Your enterpriseo en Your enterprises y, a continuación, haz clic en la empresa que deseas ver.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En Configuración, haz clic en Seguridad de autenticación.
-
En "Configuración de inicio de sesión único", selecciona o anula la selección de Redirigir automáticamente a los usuarios para iniciar sesión.