IdP의 조건부 액세스 정책에 대한 지원 정보

조건부 액세스 정책에 대한 지원 정보

엔터프라이즈에서 OIDC SSO를 사용하는 경우 GitHub은 IdP의 CAP(조건부 액세스 정책) IP 조건을 자동으로 사용하여 GitHub과의 사용자 상호 작용, 구성원이 IP 주소를 변경할 때 및 personal access token 또는 SSH 키가 사용될 때마다 사용자 상호 작용의 유효성을 검사합니다.

GitHub Enterprise Cloud은(는) OIDC SSO를 사용하는 모든 관리되는 사용자가 있는 엔터프라이즈에 대해 CAP를 지원합니다. GitHub Enterprise Cloud은(는) IdP의 IP 조건을 적용하지만 디바이스 준수 조건을 적용할 수는 없습니다. 엔터프라이즈 소유자는 GitHub Enterprise Cloud의 IP 허용 목록 대신 이 IP 허용 목록 구성을 사용하도록 선택할 수 있으며, OIDC SSO가 구성되면 이 작업을 수행할 수 있습니다. IP 허용 목록에 대한 자세한 내용은 "IP 허용 목록을 사용하여 네트워크 트래픽을 엔터프라이즈로 제한" 및 "조직에 허용되는 IP 주소 관리.

Enterprise Managed Users에서 OIDC를 사용하는 방법에 대한 자세한 내용은 "Enterprise Managed Users용 OIDC 구성" 및 "SAML에서 OIDC로 마이그레이션"을 참조하세요.

통합 및 자동화에 대한 고려 사항

GitHub는 CAP에 대한 유효성 검사를 위해 원래 IP 주소를 IdP로 보냅니다. IdP의 CAP에 의해 작업 및 앱이 차단되지 않도록 하려면 구성을 변경해야 합니다.

GitHub Actions

personal access token을(를) 사용하는 작업은 IdP의 CAP에 의해 차단될 수 있습니다. personal access tokens는 서비스 계정에서 만든 다음, IdP의 CAP에 있는 IP 컨트롤에서 제외되는 것이 좋습니다.

서비스 계정을 사용할 수 없는 경우 personal access tokens를 사용하는 작업의 차단을 해제하는 또 다른 옵션은 GitHub Actions에서 사용하는 IP 범위를 허용하는 것입니다. 자세한 내용은 "GitHub IP 주소 정보"을 참조하세요.

GitHub Apps 및 OAuth Apps

GitHub Apps 및 OAuth Apps이(가) 사용자를 로그인하고 해당 사용자를 대신하여 요청하면 GitHub는 유효성 검사를 위해 앱 서버의 IP 주소를 IdP로 보냅니다. 앱 서버의 IP 주소가 IdP의 CAP에서 유효한 것으로 확인되지 않으면 요청이 실패합니다.

GitHub Apps이(가) 앱 자체 또는 설치 역할을 하는 GitHub API를 호출하는 경우 이러한 호출은 사용자를 대신하여 수행되지 않습니다. IdP의 CAP는 사용자 계정에 정책을 실행하고 적용하므로 CAP에 대해 이러한 애플리케이션 요청의 유효성을 검사할 수 없으며 항상 허용됩니다. 자체 또는 설치로 인증하는 GitHub Apps에 대한 자세한 내용은 "GitHub 앱 인증 정보"을 참조하세요.

사용하려는 앱의 소유자에게 문의하여 해당 IP 범위를 요청하고, 해당 IP 범위에서 액세스할 수 있도록 IdP의 CAP을 구성할 수 있습니다. 소유자에게 문의할 수 없는 경우 IdP 로그인 로그를 검토하여 요청에 표시된 IP 주소를 검토한 다음, 해당 주소를 허용 목록에 추가할 수 있습니다.

엔터프라이즈의 모든 앱에 대해 모든 IP 범위를 허용하지 않으려면 IdP 허용 목록에서 설치된 GitHub Apps 및 권한 있는 OAuth Apps을(를) 제외할 수도 있습니다. 이렇게 하면 이러한 앱은 원래 IP 주소에 관계없이 계속 작동합니다. 자세한 내용은 "엔터프라이즈에서 보안 설정에 대한 정책 적용"을 참조하세요.