Requerir autenticación en dos fases en la organización

Los propietarios de la organización pueden requerir que los miembros de la organización, colaboradores externos y gerentes de facturación habiliten la autenticación de dos factores para sus cuentas personales, lo que hace que sea más complicado para los actores maliciosos acceder a los repositorios y parámetros de una organización.

¿Quién puede utilizar esta característica?

Requiring two-factor authentication is available to organizations on a GitHub Free or GitHub Team plan, as well as organizations on GitHub Enterprise Cloud or GitHub Enterprise Server. With GitHub Enterprise Cloud, this feature is unavailable for organizations in an empresa con usuarios administrados.

En este artículo

Nota:

A partir de marzo de 2023, GitHub exigió que todos los usuarios que contribuyan con código en GitHub.com habiliten una o varias formas de autenticación en dos fases (2FA). Si estaba en un grupo elegible, habría recibido un correo electrónico de notificación cuando ese grupo fue seleccionado para la inscripción, marcando el comienzo de un período de inscripción 2FA de 45 días, y vería banners que le pedirán que se inscribiese en 2FA en GitHub.com. Si no recibió una notificación, no formaba parte de un grupo al que se le exige que habilite 2FA, aunque se recomienda encarecidamente.

Para obtener más información sobre el lanzamiento de la inscripción 2FA, consulta esta entrada de blog.

Acerca de la autenticación bifactorial para las organizaciones

La autenticación bifactorial (2FA) es una capa de seguridad adicional que seutiliza cuando ingresas en sitios web o en apps. Puedes exigir a todos los miembros, colaboradores externos y gerentes de facturación de la organización que habiliten la autenticación en dos fases en GitHub. Para más información sobre la autenticación en dos fases, consulta Asegurar tu cuenta con autenticación de dos factores (2FA).

También puedes requerir autenticación bifactorial para las organizaciones en una empresa. Para más información, consulta Requerir las políticas para los ajustes de seguridad en tu empresa.

Nota:

Es posible que algunos de los usuarios de la organización se hayan seleccionado para la inscripción obligatoria en la autenticación en dos fases mediante GitHub, pero esto no tiene ningún impacto en cómo habilitar el requisito de la autenticación en dos fases para tu organización. Si habilita el requisito de 2FA en su organización, todos los usuarios que no tengan habilitada actualmente la 2FA se quitarán de la organización, incluidos los que tienen que habilitarla mediante GitHub.

Advertencia

  • Cuando necesites el uso de la autenticación en dos fases en tu organización, los miembros y responsables de facturación que no usen dicha autenticación no podrán acceder a los recursos de tu organización hasta que la habiliten en sus cuentas. Conservarán la pertenencia incluso sin 2FA, incluido el consumo de puestos en la organización.
  • Cuando exijas el uso de la autenticación en dos fases en tu organización, todas las cuentas que no la usen se quitarán de la organización y perderán el acceso a sus repositorios. También perderán acceso a las bifurcaciones de sus repositorios privados de la organización. Puedes restablecer sus privilegios de acceso y valores de configuración si habilitan la autenticación en dos fases en sus cuentas personales en un plazo de tres meses de su eliminación de la organización. Para más información, consulta Restablecer a un miembro anterior de su organización.
  • También deberás habilitar la autenticación en dos fases en cuentas de acceso desatendidas o compartidas que sean colaboradores externos, como bots y cuentas de servicio. Si no configuras la autenticación en dos fases en estas cuentas de colaborador externo desatendidas tras haber habilitado la autenticación en dos fases obligatoria, las cuentas se eliminarán de la organización y perderán el acceso a sus repositorios. Para más información, consulta Administración de bots y cuentas de servicio con autenticación en dos fases.
  • Si un colaborador externo deshabilita la autenticación en dos fases en su cuenta personal después de habilitar la autenticación en dos fases obligatoria, se le eliminará automáticamente de la organización.
  • Si eres el único propietario de una organización que exige la autenticación en dos factores, no podrás deshabilitarla en tu cuenta personal sin deshabilitar la autenticación en dos fases obligatoria de la organización.

Requisitos previos

Para exigir a los miembros de la organización, colaboradores externos y responsables de facturación que usen la autenticación en dos fases, debes habilitar dicha autenticación en tu cuenta. Para más información, consulta Asegurar tu cuenta con autenticación de dos factores (2FA).

Antes de exigir el uso de la autenticación en dos fases, le recomendamos avisar a los miembros de la organización, colaboradores externos y gerentes de facturación y pedirles que configuren la autenticación en dos fases en sus cuentas. Puedes ver si los miembros y colaboradores externos ya utilizan la 2FA. Para más información, consulta Ver si los usuarios en tu organización han habilitado 2FA.

Requerir autenticación en dos fases en la organización

  1. En la esquina superior derecha de GitHub, selecciona la foto del perfil y haz clic en Tus organizaciones.

  2. Junto a la organización, haga clic en Settings.

  3. En la sección "Seguridad" de la barra lateral, haz clic en Seguridad de autenticación.

  4. En "Autenticación en dos fases", selecciona Requerir autenticación en dos fases para todos los usuarios de la organización y, después, haz clic en Guardar.

  5. Si se te solicita, lee la información acerca de los miembros y colaboradores externos que se eliminarán de la organización.

  6. Haz clic en Confirm para confirmar el cambio.

  7. Si algún colaborador externo se elimina de la organización, se recomienda enviarle una invitación para restablecer sus privilegios antiguos y el acceso a la organización. Deben habilitar la autenticación de dos factores para poder aceptar la invitación.

Requerimiento de métodos seguros de autenticación en dos fases en la organización

Además de requerir la autenticación en dos fases, puedes exigir que los miembros de la organización, los administradores de facturación y los colaboradores externos usen métodos seguros de este tipo de autenticación. Los métodos seguros de dos fases son las claves de paso, las claves de seguridad, las aplicaciones de autenticación y la aplicación móvil de GitHub. A los usuarios que no tengan configurado un método seguro de autenticación en dos fases o cuyo método configurado no sea seguro (como SMS) se les impedirá que puedan acceder a los recursos de la organización.

Antes de solicitar métodos seguros de autenticación en dos fases, te recomendamos informar a los miembros de la organización, a los colaboradores externos y a los administradores de facturación y pedirles que configuren la autenticación en dos fases para sus cuentas. Puedes ver si los miembros y los colaboradores externos ya usan métodos seguros de autenticación en dos fases en la página People de cada organización. Para más información, consulta Ver si los usuarios en tu organización han habilitado 2FA.

  1. En "Two-factor authentication", selecciona Require two-factor authentication for everyone in your organization y Only allow secure two-factor methods y, a continuación, haz clic en Save.
  2. Si se solicita, lee la información sobre cómo el acceso del usuario a los recursos de la organización se verá afectado por el requisito de los métodos de autenticación en dos fases. Haz clic en Confirm para confirmar el cambio.
  3. De manera opcional, si algún colaborador externo se elimina de la organización, se recomienda enviarle una invitación para restablecer su acceso y sus antiguos privilegios. Cada persona debe habilitar la autenticación en dos fases con un método seguro para poder aceptar la invitación.

Ver las personas que se eliminaron de tu organización

Para ver a las personas eliminadas automáticamente de la organización por incumplir los requisitos de autenticación en dos fases, puede buscar en el registro de auditoría los usuarios eliminados de la organización. El evento de registro de auditoría mostrará si se eliminó a una persona por no cumplir con la 2FA. Para más información, consulta Revisar el registro de auditoría de tu organización.

  1. En la esquina superior derecha de GitHub, selecciona la foto del perfil y haz clic en Tus organizaciones.
  2. Junto a la organización, haga clic en Settings.
  3. En la sección "Archivo" de la barra lateral, haz clic en Registros y, después, en Registro de auditoría.
  4. Ingresa tu consulta de búsqueda. Para buscar colaboradores externos eliminados, usa action:org.remove_outside_collaborator en la consulta de búsqueda.

También puede ver a las personas eliminadas de su organización so utiliza un período de tiempo en la búsqueda.

Ayudar a que los colaboradores externos eliminados se vuelvan a unir a una organización

Los colaboradores externos que se hayan eliminado de la organización cuando se habilitó el uso obligatorio de la autenticación en dos fases recibirán un correo electrónico para notificarles que se han eliminado. Debe entonces habilitar la 2FA para su cuenta personal y contactarse con un propietario de la organización para solicitar acceso a tu organización.

Información adicional