À propos des stratégies pour les paramètres de sécurité dans votre entreprise
Vous pouvez appliquer des stratégies pour contrôler les paramètres de sécurité des organisations appartenant à votre entreprise sur GitHub Enterprise Server. Par défaut, les propriétaires d'organisation peuvent gérer les paramètres de sécurité.
Exiger l'authentification à 2 facteurs pour les organisations de votre entreprise
If votre instance GitHub Enterprise Server utilise LDAP ou l'authentification intégrée, les propriétaires d'entreprise peuvent exiger que les membres de l'organisation, les responsables de la facturation et les collaborateurs externes de toutes les organisations appartenant à une entreprise utilisent l'authentification à deux facteurs pour sécuriser leurs comptes utilisateurs.
Pour pouvoir exiger l’authentification à 2 facteurs pour toutes les organisations appartenant à votre entreprise, vous devez l’activer pour votre propre compte. Pour plus d’informations, consultez « Sécurisation de votre compte avec l’authentification à 2 facteurs ».
Avant d'exiger l'authentification à 2 facteurs, nous vous recommandons d'en informer les membres, collaborateurs externes et gestionnaires de facturation de l'organisation et de leur demander de la configurer pour leurs comptes. Les propriétaires d’organisation peuvent voir si les membres et collaborateurs externes utilisent déjà l’authentification à 2 facteurs sur la page Personnes de chaque organisation. Pour plus d’informations, consultez « Voir si l’authentification à 2 facteurs (2FA) est activée pour les utilisateurs de votre organisation ».
La vérification des codes d’authentification à 2 facteurs nécessite une heure précise sur l’appareil et le serveur du client. Les administrateurs de site doivent s’assurer que la synchronisation de l’heure est configurée et précise. Pour plus d’informations, consultez « Configuration de la synchronisation de l’heure ».
Warning
- Lorsque vous exigez une authentification à deux facteurs pour votre entreprise, les collaborateurs externes (y compris les comptes robots) de toutes les organisations appartenant à votre entreprise qui n'utilisent pas l'authentification à deux facteurs seront retirés de l'organisation et perdront l'accès à ses référentiels. Ils perdent également l'accès à leurs duplications (fork) des dépôts privés de l'organisation. Vous pouvez rétablir leurs privilèges d'accès et leurs paramètres s'ils activent la fonction 2FA pour leur compte dans les trois mois suivant leur retrait de votre organisation. Pour plus d’informations, consultez « Réactivation d’un ancien membre de votre organisation ».
- Tout propriétaire, membre, gestionnaire de facturation ou collaborateur externe de toute organisation appartenant à votre entreprise qui désactive l’authentification à 2 facteurs pour son compte alors que vous avez activé l’exigence d’authentification à 2 facteurs est automatiquement supprimé de l’organisation. Les membres et les gestionnaires de facturation qui désactivent le 2FA ne pourront pas accéder aux ressources de l'organisation tant qu'ils ne l'auront pas réactivé.
- Si vous êtes l'unique propriétaire d'une entreprise qui exige l'authentification à deux facteurs, vous ne pourrez pas désactiver l'authentification à deux facteurs pour votre compte utilisateur sans désactiver l'authentification à deux facteurs pour l'entreprise.
-
Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
Sous « Authentification à 2 facteurs », passez en revue les informations relatives à la modification du paramètre. Si vous voulez voir la configuration actuelle de toutes les organisations dans le compte d’entreprise avant de changer le paramètre, cliquez sur Voir les configurations actuelles de vos organisations.
-
Sous « Authentification à deux facteurs », sélectionnez Exiger une authentification à deux facteurs pour l'entreprise et toutes ses organisations, puis cliquez sur Enregistrer.
-
Si vous y êtes invité, lisez les informations sur la façon dont l’accès utilisateur aux ressources de l’organisation sera affecté par une exigence 2FA. Cliquez sur Confirmer pour confirmer la modification.
-
Si des membres ou des collaborateurs externes sont supprimés des organisations appartenant à votre entreprise, nous vous recommandons de leur envoyer une invitation pour rétablir leurs anciens privilèges et accès à votre organisation. Chaque personne doit activer la fonction 2FA avant de pouvoir accepter votre invitation.
Gestion des autorités de certification SSH pour votre entreprise
Vous pouvez utiliser une autorité de confiance SSH pour autoriser les membres de n’importe quelle organisation appartenant à votre entreprise à accéder aux référentiels de cette organisation à l’aide de certificats SSH que vous fournissez. Vous pouvez exiger que les membres utilisent des certificats SSH pour accéder aux ressources de l’organisation, sauf si SSH est désactivé dans votre dépôt. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».
Lorsque vous émettez chaque certificat client, vous devez inclure une extension qui spécifie l’utilisateur GitHub Enterprise Server auquel le certificat est destiné. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».
Ajout d'une autorité de certification SSH
Si vous avez besoin de certificats SSH pour votre entreprise, les membres de l'entreprise doivent utiliser une URL spéciale pour les opérations Git sur SSH. Pour plus d'informations, consultez « À propos des autorités de certification SSH ».
Chaque autorité de confiance ne peut être chargée que dans un seul compte sur GitHub Enterprise Server. Si une autorité de confiance SSH a été ajoutée à une organisation ou un compte d’entreprise, vous ne pouvez pas ajouter la même autorité de confiance à une autre organisation ou un autre compte d’entreprise sur GitHub Enterprise Server.
Si vous ajoutez une autorité de confiance à une entreprise et une autre autorité de confiance à une organisation au sein de l’entreprise, l’une ou l’autre autorité de confiance peut être utilisée pour accéder aux référentiels de l’organisation.
-
Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
À droite de « Autorités de certification SSH », cliquez sur Nouvelle autorité de certification.
-
Sous « Clé », collez votre clé SSH publique.
-
Cliquez sur Ajouter une autorité de certification.
-
Pour exiger que les membres utilisent des certificats SSH, vous pouvez sélectionner Exiger des certificats SSH, puis cliquer sur Enregistrer.
Note
Lorsque vous avez besoin de certificats SSH, les utilisateurs ne pourront pas s’authentifier pour accéder aux référentiels de l’organisation via HTTPS ou avec une clé SSH non signée.
Cette exigence ne s’applique pas aux GitHub Apps (y compris les jetons utilisateur-serveur) autorisées, aux clés de déploiement ni aux fonctionnalités GitHub comme GitHub Actions qui sont des environnements de confiance au sein de l’écosystème GitHub.
Suppression d'une autorité de certification SSH
La suppression d'une autorité de certification ne peut pas être annulée. Si vous souhaitez utiliser la même autorité de certification plus tard, vous devrez la charger de nouveau.
-
Dans le coin supérieur droit de GitHub Enterprise Server, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
Sur le côté gauche de la page, dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.
-
Sous Paramètres, cliquez sur Sécurité de l’authentification.
-
Sous « Autorités de certification SSH », à droite de l’autorité de certification que vous souhaitez supprimer, cliquez sur Supprimer.
-
Lisez l’avertissement, puis cliquez sur Je comprends, supprimer cette autorité de certification.