엔터프라이즈의 보안 설정에 대한 정책 정보
GitHub Enterprise Cloud에서 엔터프라이즈가 소유한 조직의 보안 설정을 제어하는 정책을 적용할 수 있습니다. 기본적으로 조직 소유자는 보안 설정을 관리할 수 있습니다.
엔터프라이즈의 조직에 대한 2단계 인증 요구
Note
2023년 3월부터 GitHub은 GitHub.com에 코드를 기여하는 모든 사용자에게 2단계 인증(2FA) 방식을 하나 이상 사용하도록 요구하고 있습니다. 자격이 있는 그룹에 속했다면 해당 그룹이 등록 대상으로 선택되었을 때 45일 간의 2FA 등록 기간이 시작되었음을 알리는 알림 이메일을 받았을 것이며, GitHub.com에 2FA 등록을 요청하는 배너가 표시되었을 것입니다. 알림을 받지 못했다면 2FA를 사용해야 하는 그룹은 아니지만, 사용하는 것을 적극 권장합니다.
2FA 등록 출시에 대한 자세한 내용은 블로그 게시물을 참조하세요.
엔터프라이즈 소유자는 엔터프라이즈가 소유한 모든 조직의 조직 구성원, 청구 관리자, 외부 협력자 2단계 인증을 사용하여 사용자 계정을 보호하도록 요구할 수 있습니다. 관리형 사용자가 있는 엔터프라이즈에는 이 정책을 사용할 수 없습니다.
엔터프라이즈가 소유한 모든 조직에 대해 2단계 인증을 요구하기 전 먼저 자신의 계정에 대한 2FA를 사용하도록 설정해야 합니다. 자세한 내용은 2FA(2단계 인증)를 사용하여 계정 보호을(를) 참조하세요.
2단계 인증을 사용하기 전에 조직 구성원, 외부 협력자 및 청구 관리자에게 알리고 계정에 대한 2FA를 설정하도록 요청하는 것이 좋습니다. 조직 소유자는 각 조직의 “인물 정보” 페이지에서 구성원과 외부 협력자가 이미 2FA를 사용하고 있는지 확인할 수 있습니다. 자세한 내용은 조직의 사용자가 2FA를 사용하도록 설정하였는지 여부 보기을(를) 참조하세요.
Warning
- 엔터프라이즈에 대해 2단계 인증이 필요한 경우 2FA를 사용하지 않는 엔터프라이즈 소유의 모든 조직에서 외부 협력자(봇 계정 포함)가 조직에서 제거되고 해당 리포지토리에 대한 액세스 권한이 손실됩니다. 또한 조직의 프라이빗 리포지토리 포크에 액세스할 수 없게 됩니다. 조직에서 제거된 후 3개월 이내에 개인 계정에 대한 2FA를 사용하도록 설정하는 경우 액세스 권한과 설정을 복구할 수 있습니다. 자세한 내용은 조직의 이전 멤버 복원을(를) 참조하세요.
- 필요한 2단계 인증을 사용하도록 설정한 후에는 계정에 대한 2FA를 사용하지 않도록 설정하는 엔터프라이즈 소유 조직의 외부 협력자는 조직에서 자동으로 제거됩니다. 2FA를 사용하지 않도록 설정하는 구성원과 청구 관리자는 조직 리소스를 다시 사용하도록 설정할 때까지 조직 리소스에 액세스할 수 없습니다.
- 2단계 인증이 필요한 엔터프라이즈의 단독 소유자인 경우, 엔터프라이즈에 필요한 2단계 인증을 사용하지 않고 사용자 계정에 대한 2FA를 사용하지 않도록 설정할 수 없습니다.
Note
조직의 일부 사용자는 GitHub.com에 따라 필수 2단계 인증 등록을 위해 선택되었을 수 있지만 Enterprise의 조직에 대한 2FA 요구 사항을 사용하도록 설정하는 방법에는 영향을 주지 않습니다. 엔터프라이즈의 조직에서 2FA 요구 사항을 사용하도록 설정하면 현재 2FA 없이도 사용할 수 있도록 설정된 외부 협력자는 GitHub.com에 따라 2FA를 사용하도록 설정된 사람들을 포함하여 조직에서 제거됩니다.
-
GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭합니다.
-
사용자 환경에 따라 사용자 엔터프라이즈를 클릭하거나 사용자 엔터프라이즈를 클릭한 다음, 보고 싶은 엔터프라이즈를 클릭합니다.
-
페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 설정을 클릭합니다.
-
설정 아래에서, 인증 보안을 클릭합니다.
-
"2단계 인증"에서 설정 변경에 대한 정보를 검토합니다. 필요에 따라 설정을 변경하기 전에 엔터프라이즈 계정의 모든 조직에 대한 현재 구성을 보려면 조직의 현재 구성 보기를 클릭합니다.
-
“2단계 인증”에서 엔터프라이즈와 모든 조직에 대해 2단계 인증 요구를 선택한 다음, 저장을 클릭합니다.
-
메시지가 표시되면 2FA 요구 사항의 영향을 받는 조직 리소스에 대한 사용자 액세스 방법에 대한 정보를 읽습니다. 확인을 클릭하여 변경 내용을 확인합니다.
-
필요에 따라 엔터프라이즈가 소유한 조직에서 외부 협력자가 제거된 경우 이전 권한과 조직에 대한 액세스 권한을 복구하도록 초대를 보내는 것이 좋습니다. 각 사용자는 초대를 수락하기 전에 2FA를 사용하도록 설정해야 합니다.
엔터프라이즈의 조직에 대한 2단계 인증 보안 방법 요구
엔터프라이즈 소유자는 2단계 인증을 요구하는 것과 동시에 엔터프라이즈가 소유한 모든 조직의 조직 구성원, 청구 관리자, 외부 협력자가 안전한 방식의 2FA를 사용하도록 요구할 수 있습니다. 보안 2단계 방법은 암호, 보안 키, 인증자 앱, GitHub 모바일 앱입니다. 2FA의 보안 방법이 구성되지 않았거나 안전하지 않은 방법을 구성한 사용자는 엔터프라이즈가 소유한 조직 내에서 리소스에 액세스할 수 없습니다. 이 정책은 관리형 사용자가 있는 엔터프라이즈에서는 사용할 수 없습니다.
2단계 인증 보안 방법을 요청하기 전에 조직 구성원, 외부 협력자, 청구 관리자에게 알리고 계정에서 보안 2FA를 설정하도록 요청하는 것이 좋습니다. 조직 소유자는 각 조직의 “인물 정보” 페이지에서 구성원과 외부 협력자가 이미 2FA 보안 방법을 사용하고 있는지 확인할 수 있습니다. 자세한 내용은 조직의 사용자가 2FA를 사용하도록 설정하였는지 여부 보기을(를) 참조하세요.
-
“2단계 인증”에서 엔터프라이즈와 모든 조직에 대해 2단계 인증 요구 및 보안 2단계 메서드만 허용을 선택한 다음, 저장을 클릭합니다.
-
메시지가 표시되면 보안 2FA 메서드의 영향을 받는 조직 리소스에 대한 사용자 액세스 방법에 대한 정보를 읽습니다. 확인을 클릭하여 변경 내용을 확인합니다.
-
필요에 따라 엔터프라이즈가 소유한 조직에서 외부 협력자가 제거된 경우 이전 권한과 조직에 대한 액세스 권한을 복구하도록 초대를 보내는 것이 좋습니다. 각 사용자는 초대를 수락하기 전에 보안 방법으로 2FA를 사용하도록 설정해야 합니다.
엔터프라이즈에 대한 SSH 인증 기관 관리
SSH CA(인증 기관)를 사용하여 엔터프라이즈가 소유한 조직의 구성원이 사용자가 제공하는 SSH 인증서를 통해 해당 조직의 리포지토리에 액세스할 수 있도록 허용할 수 있습니다. 엔터프라이즈에서 Enterprise Managed Users를 사용하는 경우 enterprise 멤버도 인증서를 사용하여 개인 소유 리포지토리에 액세스할 수 있습니다. 리포지토리에서 SSH를 사용하지 않도록 설정하지 않는 한 구성원이 SSH 인증서를 사용하여 조직 리소스에 액세스하도록 요구할 수 있습니다. 자세한 내용은 SSH 인증 기관 정보을(를) 참조하세요.
각 클라이언트 인증서를 발급할 때 해당 인증서가 대상으로 삼는 GitHub Enterprise Cloud 사용자를 지정하는 확장을 포함해야 합니다. 자세한 내용은 "SSH 인증 기관 정보"을(를) 참조하세요.
SSH 인증 기관 추가
엔터프라이즈에 SSH 인증서가 필요한 경우 엔터프라이즈 구성원은 SSH를 통해 Git 작업에 특별한 URL을 사용해야 합니다. 자세한 내용은 SSH 인증 기관 정보을(를) 참조하세요.
각 인증 기관은 GitHub Enterprise Cloud의 한 계정에만 업로드할 수 있습니다. SSH 인증 기관에 조직 또는 엔터프라이즈 계정이 추가된 경우, GitHub Enterprise Cloud의 다른 조직 또는 엔터프라이즈 계정에 동일한 인증 기관을 추가할 수 없습니다.
하나의 인증 기관을 엔터프라이즈에 추가하고 다른 인증 기관을 엔터프라이즈의 조직에 추가하는 경우 두 인증 기관 중 하나를 사용하여 조직의 리포지토리에 액세스할 수 있습니다.
-
GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭합니다.
-
사용자 환경에 따라 사용자 엔터프라이즈를 클릭하거나 사용자 엔터프라이즈를 클릭한 다음, 보고 싶은 엔터프라이즈를 클릭합니다.
-
페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 설정을 클릭합니다.
-
설정 아래에서, 인증 보안을 클릭합니다.
-
“SSH 인증 기관” 오른쪽에서 새 CA를 클릭합니다.
-
“키” 아래에 공용 SSH 키를 붙여넣습니다.
-
CA 추가를 클릭합니다.
-
필요에 따라 멤버가 SSH 인증서를 사용하도록 요구하려면 SSH 인증서 요구를 선택한 다음 저장을 클릭합니다.
Note
SSH 인증서가 필요한 경우 외부 ID 시스템을 통해 인증이 필요한 조직에 대해 SSH 키가 승인되었는지 여부에 관계없이 사용자는 HTTPS를 통해 또는 서명되지 않은 SSH 키를 사용하여 조직의 리포지토리에 액세스하기 위한 인증을 수행할 수 없습니다.
요구 사항은 권한 있는 GitHub Apps (사용자-서버 토큰 포함), 배포 키 또는 GitHub 에코시스템 내의 신뢰할 수 있는 환경인 GitHub 기능(예: GitHub Actions 및 Codespaces)에는 적용되지 않습니다.
사용자 소유 리포지토리에 대한 액세스 관리
엔터프라이즈에서 관리형 사용자 계정를 사용하는 경우 SSH 인증서를 사용하여 사용자 소유 리포지토리에 대한 액세스를 사용하거나 사용하지 않도록 설정할 수 있습니다. 그러나 엔터프라이즈에서 GitHub.com 멤버에 대해 개인 계정 사용하는 경우 인증서를 사용하여 개인 소유 리포지토리에 액세스할 수 없습니다.
-
GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭합니다.
-
사용자 환경에 따라 사용자 엔터프라이즈를 클릭하거나 사용자 엔터프라이즈를 클릭한 다음, 보고 싶은 엔터프라이즈를 클릭합니다.
-
페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 설정을 클릭합니다.
-
설정 아래에서, 인증 보안을 클릭합니다.
-
"SSH 인증 기관"에서 사용자 소유 리포지토리에 액세스 확인란을 선택합니다.
SSH 인증 기관 삭제
CA 삭제는 실행을 취소할 수 없습니다. 나중에 동일한 CA를 사용하려면 CA를 다시 업로드해야 합니다.
-
GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭합니다.
-
사용자 환경에 따라 사용자 엔터프라이즈를 클릭하거나 사용자 엔터프라이즈를 클릭한 다음, 보고 싶은 엔터프라이즈를 클릭합니다.
-
페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 설정을 클릭합니다.
-
설정 아래에서, 인증 보안을 클릭합니다.
-
삭제하려는 CA 오른쪽에 있는 “SSH 인증 기관”에서 삭제를 클릭합니다.
-
경고를 읽은 다음 이해합니다, 이 CA를 삭제하세요를 클릭합니다.
SSH 인증 기관 업그레이드
GitHub Enterprise Server 버전 3.13 전에 2024년 3월 27일 이전의 엔터프라이즈에 업로드된 CA는 만료되지 않는 인증서의 사용을 허용합니다. 이제 새 CA에 만료가 필요한 이유에 대한 자세한 내용은 SSH 인증 기관 정보을(를) 참조하세요. 기존 CA를 업그레이드하여 만료되지 않는 인증서를 발급하지 못하도록 방지할 수 있습니다. 최상의 보안을 위해 만료되지 않는 인증서에 의존하지 않는지 확인한 후 모든 CA를 업그레이드하는 것이 좋습니다.
-
GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭합니다.
-
사용자 환경에 따라 사용자 엔터프라이즈를 클릭하거나 사용자 엔터프라이즈를 클릭한 다음, 보고 싶은 엔터프라이즈를 클릭합니다.
-
페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 설정을 클릭합니다.
-
설정 아래에서, 인증 보안을 클릭합니다.
-
업그레이드하려는 CA 오른쪽에 있는 “SSH 인증 기관”에서 업그레이드를 클릭합니다.
-
경고를 읽은 다음 업그레이드를 클릭합니다.
CA를 업그레이드한 후에는 해당 CA에서 서명한 만료되지 않는 인증서가 거부됩니다.
인증되지 않은 사용자에 대한 SSO 관리
Note
로그인하도록 사용자를 자동으로 리디렉션하는 작업은 현재 Enterprise Managed Users에 대해 공개 미리 보기 버전이며 변경될 수 있습니다.
Enterprise에서 Enterprise Managed Users을(를) 사용하는 경우 인증되지 않은 사용자가 Enterprise의 리소스에 액세스하려고 할 때 표시되는 항목을 선택할 수 있습니다. Enterprise Managed Users에 대한 자세한 내용은 Enterprise Managed Users 정보을(를) 참조하세요.
기본값으로 비공개 리소스의 존재를 숨기며 인증되지 않은 사용자가 Enterprise에 액세스하려고 할 때 GitHub에 404 오류가 표시됩니다.
개발자의 혼동을 방지하기 위해 ID 공급자(IdP)를 통해 사용자가 SSO(Single Sign-On)로 자동으로 리디렉션되도록 이 동작을 변경할 수 있습니다. 자동 리디렉션을 사용하도록 설정하면 기업의 리소스의 URL을 방문하는 모든 사용자가 리소스가 존재하는 것을 볼 수 있습니다. 그러나 IdP를 사용하여 인증한 후, 적절한 액세스 권한이 있는 경우에만 리소스를 볼 수 있습니다.
Note
사용자가 Enterprise 자원에 액세스하려고 할 때 개인 계정으로 로그인하면 자동으로 로그아웃되고 SSO로 리디렉션되어 관리형 사용자 계정에 로그인됩니다. 자세한 내용은 여러 계정 관리을(를) 참조하세요.
- GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음엔터프라이즈를 클릭합니다.
- 페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 ID 공급자를 클릭합니다.
- ID 공급자에서 Single Sign-On 구성을 클릭합니다.
- "Single Sign-On 설정"에서 자동으로 사용자를 로그인하도록 리디렉션을 선택하거나 선택 취소 합니다.