Restriction du trafic réseau vers votre entreprise avec une liste d’adresses IP autorisées

À propos des restrictions du trafic réseau

Par défaut, les utilisateurs autorisés peuvent accéder aux ressources de votre entreprise à partir de l’adresse IP de leur choix. Vous pouvez restreindre l’accès aux ressources privées de votre entreprise en configurant une liste qui autorise ou refuse l’accès à partir d’adresses IP spécifiques. Par exemple, vous pouvez autoriser l’accès aux ressources privées exclusivement à partir de l’adresse IP du réseau de votre filiale.

Si la liste autorise une adresse IP, un utilisateur authentifié qui se connecte à GitHub.com à partir de cette adresse peut accéder à des ressources privées. Si l’adresse IP de l’utilisateur n’est pas autorisée, cet utilisateur ne peut pas accéder aux ressources privées tant qu’il ne se connecte pas à partir d’une adresse autorisée.

Après avoir configuré une liste d’adresses IP autorisées, celle-ci détermine si les utilisateurs peuvent accéder aux ressources protégées via l’interface utilisateur web, les API ou Git, à l’aide de l’une des méthodes d’authentification suivantes.

• Nom d’utilisateur et mot de passe avec l’authentification GitHub ou l’authentification unique SAML
• Personal access token
• Clé SSH

La liste d’adresses IP autorisées s’applique aux utilisateurs disposant de n’importe quel rôle ou accès, y compris les propriétaires d’entreprise et d’organisation, les administrateurs de référentiels et les collaborateurs externes.

Si un utilisateur est connecté à GitHub.com, la liste d’adresses IP autorisées détermine si l’utilisateur peut accéder aux ressources publiques de l’organisation. La liste ne s’applique pas à l’accès anonyme aux ressources publiques.

Seul l’accès aux référentiels appartenant à l’organisation est déterminé par une liste d’adresses IP autorisées. La liste ne contrôle pas l’accès aux référentiels ni aux duplications de référentiels appartenant à un compte d’utilisateur managé.

Si votre entreprise utilise des Enterprise Managed Users avec Azure AD et OIDC, vous pouvez choisir d’utiliser la fonctionnalité de liste d’adresses IP autorisées de GitHub ou d’utiliser les restrictions de la liste d’autorisations de votre fournisseur d’identité (IdP). Si votre entreprise n’utilise pas de Enterprise Managed Users avec Azure et OIDC, vous pouvez utiliser la fonctionnalité de liste d’autorisations de GitHub.

À propos de la liste d’adresses IP autorisées de GitHub

Vous pouvez utiliser la liste d’adresses IP autorisées de GitHub pour contrôler l’accès à votre entreprise et aux ressources appartenant aux organisations de votre entreprise.

Vous pouvez approuver l’accès d’une seule adresse IP ou d’une plage d’adresses, en utilisant la notation CIDR. Pour plus d’informations, consultez « CIDR notation » sur Wikipedia.

Pour appliquer la liste d’adresses IP autorisées, vous devez d’abord ajouter des adresses IP à la liste, puis activer la liste d’adresses IP autorisées. Une fois que vous avez complété votre liste, vous pouvez vérifier si une adresse IP particulière est autorisée par l’une des entrées activées figurant dans la liste.

Vous devez ajouter votre adresse IP actuelle ou une plage correspondante avant d’activer la liste d’adresses IP autorisées. Lorsque vous activez la liste verte, les adresses IP que vous avez configurées sont immédiatement ajoutées aux listes vertes des organisations de votre entreprise. Si vous désactivez la liste verte, les adresses sont supprimées des listes vertes des organisations.

Les propriétaires de l’organisation peuvent ajouter des entrées supplémentaires à la liste verte pour leurs organisations. Toutefois, ils ne peuvent pas gérer les entrées qui ont été héritées de la liste verte du compte d’entreprise, et les propriétaires de l’entreprise ne peuvent pas gérer les entrées qui sont ajoutées à la liste verte de l’organisation. Pour plus d’informations, consultez « Gestion des adresses IP autorisées pour votre organisation. »

Vous pouvez choisir d’ajouter automatiquement à votre liste verte toutes les adresses IP configurées pour GitHub Apps installées dans votre entreprise. Le créateur d’une GitHub App peut configurer une liste verte pour son application, en spécifiant les adresses IP autorisées pour l’exécution de l’application. En héritant de sa liste verte dans la vôtre, vous évitez les refus de demandes de connexion de l’application. Pour plus d’informations, consultez « Autorisation de l’accès par GitHub Apps ».

À propos de la liste d’autorisations de votre IdP

Si vous utilisez des Enterprise Managed Users avec Azure AD et OIDC, vous pouvez utiliser la liste d’autorisations de votre IdP.

L’utilisation de la liste d’autorisations de votre IdP désactive les configurations de liste d’adresses IP autorisées de GitHub pour toutes les organisations de votre entreprise et désactive les API GraphQL pour l’activation et la gestion des listes d’adresses IP autorisées.

Par défaut, votre IdP exécute la stratégie d’accès conditionnel sur la connexion SAML ou OIDC interactive initiale à GitHub pour toute configuration de liste d’adresses IP autorisées de votre choix.

La stratégie d’accès conditionnel OIDC s’applique uniquement aux requêtes adressées à l’API à l’aide d’un jeton utilisateur-à-serveur, tel qu’un jeton pour une OAuth App ou une GitHub App agissant pour le compte d’un utilisateur. La stratégie d’accès conditionnel OIDC ne s’applique pas lorsqu’une GitHub App utilise un jeton serveur-à-serveur. Pour plus d’informations, consultez « À propos de l’authentification avec une application GitHub » et « À propos de la prise en charge de la stratégie d’accès conditionnel de votre fournisseur d’identité ».

Pour garantir une utilisation transparente de la stratégie d’accès conditionnel OIDC tout en appliquant la stratégie aux jetons utilisateur-à-serveur, vous devez copier toutes les plages d’adresses IP de chaque GitHub App que votre entreprise utilise dans la stratégie de votre IdP.

Utilisation de la liste d’adresses IP autorisées de GitHub

Activation de la liste d’adresses IP autorisées de GitHub

1. Dans l’angle supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos organisations.

   2. En regard de l’organisation, cliquez sur Paramètres.

   

2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité de l’authentification.

3. Si vous utilisez Enterprise Managed Users avec OIDC, sous « Liste d’adresses IP autorisées », sélectionnez le menu déroulant Configuration de la liste d’adresses IP autorisées et cliquez sur GitHub.

4. Sous « Liste verte d’adresses IP », sélectionnez Activer la liste verte d’adresses IP.

5. Cliquez sur Enregistrer.

Ajout d’une adresse IP autorisée

Vous pouvez créer une liste d’adresses IP autorisées en ajoutant des entrées qui contiennent chacune une adresse IP ou une plage d’adresses. Une fois que vous avez fini d’ajouter des entrées, vous pouvez vérifier si une adresse IP particulière est autorisée par l’une des entrées activées figurant dans votre liste.

Avant que la liste ne limite l’accès à aux ressources privées appartenant aux organisations de votre entreprise, vous devez également activer des adresses IP autorisées.

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

4. Sous Paramètres, cliquez sur Sécurité de l’authentification. 1. En bas de la section « Liste d’adresses IP autorisées », dans le champ « Adresse IP ou plage en notation CIDR », tapez une adresse IP ou une plage d’adresses en notation CIDR.

   1. Si vous le souhaitez, dans le champ « Brève description de l’adresse IP ou de la plage », entrez une description de l’adresse IP ou de la plage autorisée. 1. Cliquez sur Ajouter. 1. Vérifiez éventuellement si une adresse IP particulière serait autorisée par l’une des entrées activées dans votre liste. Pour plus d’informations, consultez « Vérification de l’autorisation d’une adresse IP ».

Autorisation de l’accès par GitHub Apps

Si vous utilisez une liste verte, vous pouvez également choisir d’y ajouter automatiquement toutes les adresses IP configurées pour les GitHub Apps installées dans votre entreprise.

Si vous sélectionnez Activer la configuration de la liste verte d’adresses IP pour les applications GitHub installées dans les paramètres de votre liste verte, les adresses IP des GitHub Apps installées sont ajoutées à votre liste verte. Cela se produit indépendamment de l’activation ou non de votre liste verte. Si vous installez une GitHub App et que le créateur de cette application modifie les adresses de sa liste verte, votre liste verte est automatiquement mise à jour avec ces modifications.

Vous pouvez identifier les adresses IP qui ont été automatiquement ajoutées à partir de GitHub Apps en consultant le champ de description. La description de ces adresses IP est la suivante : « Géré par l’application GitHub NAME ». Contrairement aux adresses que vous ajoutez manuellement, vous ne pouvez pas modifier, supprimer ou désactiver les adresses IP qui sont automatiquement ajoutées à partir de GitHub Apps.

Pour plus d’informations sur la création d’une liste verte pour une GitHub App que vous avez créée, consultez « Gestion des adresses IP autorisées pour une application GitHub ».

Pour activer l’ajout automatique d’adresses IP pour les GitHub Apps :

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

5. Sous « Liste verte d’IP », sélectionnez Activer la configuration de liste verte d’IP pour les applications GitHub installées.

   Remarque : Si vous utilisez Enterprise Managed Users avec OIDC, vous ne pouvez autoriser l’accès par les applications GitHub que si vous utilisez GitHub pour la configuration de votre liste d’adresses IP autorisées.

6. Cliquez sur Enregistrer.

Modification d’une adresse IP autorisée

Vous pouvez modifier une entrée dans votre liste d’autorisation IP. Si vous modifiez une entrée activée, les modifications s’appliquent immédiatement.

Une fois que vous avez terminé de modifier les entrées, vous pouvez vérifier si votre liste autorise une connexion à partir d’une adresse IP particulière une fois que vous avez activé la liste.

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

4. Sous Paramètres, cliquez sur Sécurité de l’authentification. 1. Sous « Liste d’adresses IP autorisées », à côté de l’entrée que vous souhaitez modifier, cliquez sur Modifier. 1. Dans le champ « Adresse IP », tapez une adresse IP, ou une plage d’adresses, en notation CIDR. 1. Dans le champ « Description », tapez une description de l’adresse IP ou de la plage autorisée.

5. Cliquez sur Update.

6. Vérifiez éventuellement si une adresse IP particulière serait autorisée par l’une des entrées activées dans votre liste. Pour plus d’informations, consultez « Vérification de l’autorisation d’une adresse IP ».

Vérification de l’autorisation d’une adresse IP

Vous pouvez vérifier si une adresse IP particulière serait autorisée par l’une des entrées activées dans votre liste d’autorisation IP, même si la liste n’est actuellement pas activée.

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

4. Sous Paramètres, cliquez sur Sécurité de l’authentification. 1. À la fin de la section « Liste d’adresses IP autorisées », sous « Vérifier l’adresse IP », entrez une adresse IP.

Suppression d’une adresse IP autorisée

1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

4. Sous Paramètres, cliquez sur Sécurité de l’authentification. 1. Sous « Liste d’adresses IP autorisées », à côté de l’entrée que vous souhaitez supprimer, cliquez sur Supprimer. 1. Pour supprimer définitivement l’entrée, cliquez sur Oui, supprimer cette entrée de la liste verte d’adresses IP.

Utilisation de la liste d’autorisations de votre fournisseur d’identité

1. Dans l’angle supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos organisations.

   2. En regard de l’organisation, cliquez sur Paramètres.

   

2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité de l’authentification.

3. Sous « Liste d’adresses IP autorisées », sélectionnez le menu déroulant Configuration de la liste d’adresses IP autorisées et cliquez sur Fournisseur d’identité.

4. Si vous le souhaitez, pour autoriser les OAuth Apps GitHub installées à accéder à votre entreprise à partir de n’importe quelle adresse IP, sélectionnez Ignorer la vérification de l’IdP pour les applications.

5. Cliquez sur Enregistrer.

Utilisation de GitHub Actions avec une liste verte d’adresses IP

Pour permettre à vos exécuteurs auto-hébergés ou hébergés plus grands de communiquer avec GitHub, ajoutez l’adresse IP ou la plage d’adresses IP de vos exécuteurs à la liste d’adresses IP autorisées que vous avez configurée pour votre entreprise.