Sobre as restrições de tráfego de rede
Por padrão, os usuários autorizados podem acessar sua empresa a partir de qualquer endereço IP. Você pode restringir o acesso a recursos pertencentes a organizações em uma conta corporativa configurando uma lista de permissões para endereços IP específicos. Por exemplo, você pode permitir o acesso somente a partir do endereço IP da rede do escritório. A lista de endereços IP permitidos bloqueará o acesso aos recursos privados por meio da Web, da API e do Git de todos os endereços IP que não estejam na lista de permitidos.
Qualquer navegação para recursos protegidos por uma lista de permissões de IP será filtrada pela lista, inclusive por meio de:
- Nome de usuário e senha com autenticação do GitHub ou SSO do SAML
- Personal access token
- Chaves SSH
Todas as credenciais de usuário, incluindo as que pertencem aos administradores, estão sujeitas a verificações de lista de permissões de IP. As listas de permissões de IP não são impostas no tráfego direcionado a repositórios públicos.
Se a sua empresa usa Enterprise Managed Users com o Azure AD e o OIDC, você pode escolher se deseja adotar o recurso de lista de permissões de IP do GitHub ou as restrições da lista de permissões do seu IdP (provedor de identidade). Se a sua empresa não usa Enterprise Managed Users com o Azure AD e OIDC, você pode adotar o recurso de lista de permissões do GitHub.
Sobre a lista de permissões de IP do GitHub
Você pode usar a lista de permissões de IP do GitHub para controlar o acesso à sua empresa e a ativos pertencentes a organizações da sua empresa.
Você pode aprovar o acesso para um único endereço IP ou uma série de endereços usando a notação CIDR. Para obter mais informações, confira "Notação CIDR" na Wikipédia.
Para fazer cumprir a lista de permissões de IP, você deve primeiro adicionar endereços IP à lista, e então habilitar a lista de permissões de IP. Após concluir sua lista, você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas da lista de permissões de IP.
É preciso adicionar o endereço IP atual ou um intervalo correspondente antes de habilitar a lista de permissões de IP. Ao habilitar a lista de permissões, os endereços IP que você configurou são imediatamente adicionados às listas de permissões de organizações na sua empresa. Se você desabilitar a lista de autorização, os endereços serão removidos da lista de permissões da organização.
Os proprietários da organização podem adicionar entradas adicionais à lista de permissões para suas organizações, mas não podem gerenciar entradas herdadas da lista de permissões da conta corporativa e os proprietários corporativos não podem gerenciar entradas adicionadas à lista de permissões da organização. Para obter mais informações, confira "Gerenciar endereços IP permitidos para sua organização".
Você pode escolher adicionar automaticamente à sua lista de permissões qualquer endereço IP configurado para GitHub Apps instalado na sua empresa. O criador de um GitHub App pode configurar uma lista de permissões para o seu aplicativo, especificando os endereços IP em que o aplicativo é executado. Ao herdar a lista de permissões deles para a sua lista, você evita as solicitações de conexão do aplicativo que está sendo recusado. Para obter mais informações, confira "Permitir acesso por Aplicativos do GitHub".
Sobre a lista de permissões do seu IdP
Se estiver usando o Enterprise Managed Users com o Azure AD e OIDC, você poderá usar a lista de permissões do seu IdP.
O uso da lista de permissões do seu IdP desativa as configurações da lista de permissões de IP do GitHub para todas as organizações da sua empresa e desativa as APIs do GraphQL para habilitar e gerenciar as listas de permissões de IP.
Por padrão, o IdP executa a CAP na entrada inicial interativa do SAML ou do OIDC no GitHub para qualquer configuração de lista de permissões de IP escolhida.
A CAP do OIDC só se aplica a solicitações à API usando um token de usuário para servidor, como um token para um OAuth App ou um GitHub App atuando em nome de um usuário. A CAP do OIDC não se aplica quando um GitHub App usa um token de servidor para servidor. Para obter mais informações, confira "Como se autenticar com GitHub Apps" e "Sobre o suporte para a Política de Acesso Condicional de IdPs".
Para garantir o uso contínuo da CAP do OIDC enquanto ainda aplica a política a tokens de usuário para servidor, você deve copiar todos os intervalos de IP de cada GitHub App que sua empresa usa na política do IdP.
Como usar a lista de permissões de IP do GitHub
Como habilitar a lista de permissões de IP do GitHub
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e clique em Suas organizações.
2. Ao lado da organização, clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
-
Em "Lista de permissões de IP", habilite a lista de permissões de IP.
-
Se você estiver usando o Enterprise Managed Users com o OIDC, selecione o menu suspenso e clique em GitHub.
Selecione Habilitar lista de permissões de IP.
-
Se você não estiver usando o Enterprise Managed Users com o OIDC, selecione Habilitar lista de permissões de IP.
-
-
Clique em Salvar.
Adicionar endereços IP permitidos
Você pode criar uma lista de permissões de IP adicionando entradas que contêm um endereço IP ou um intervalo de endereços. Após concluir a adição de entradas, você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas da lista de permissões de IP.
Antes que a lista restrinja o acesso a ativos privados pertencentes a organizações da sua empresa, você também deve habilitar endereços IP permitidos.
Observação: a GitHub está distribuindo gradualmente o suporte para IPv6. À medida que os serviços do GitHub continuarem a adicionar suporte a IPv6, começaremos a reconhecer endereços IPv6 de usuários do GitHub. Para evitar possíveis interrupções de acesso, verifique se você adicionou todos os endereços IPv6 necessários à sua lista de permissões de IP.
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de autenticação.
1. Na parte inferior da seção "Lista de permissão de IP", insira um endereço IP ou uma série de endereços na notação CIDR.
1. Opcionalmente, insira uma descrição do intervalo ou endereço IP permitidos.
1. Clique em Adicionar.
1. Opcionalmente, verifique se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista. Para obter mais informações, confira "Como verificar se um endereço IP é permitido".
Permitindo acesso de GitHub Apps
Se você estiver usando uma lista de permissões, você também pode optar por adicionar automaticamente à sua lista de permissões todos os endereços IP configurados em GitHub Apps que estão instalados na sua empresa.
Se você selecionar Habilitar a configuração de lista de permissões de IP para aplicativos GitHub instalados em suas configurações de lista de permissões, os endereços IP dos dados GitHub Apps serão adicionados a sua lista de permissões. Isso acontece independentemente de a sua lista de permissão estar habilitada. Se você instalar um GitHub App, o criador desse aplicativo muda o endereço na sua lista de permissões e esta é atualizada automaticamente com essas alterações.
Você pode identificar os endereços IP que foram automaticamente adicionados de GitHub Apps revisando o campo de descrição. A descrição para esses endereços IP é: "Gerenciado pelo NOME do aplicativo GitHub". Ao contrário dos endereços adicionados manualmente, você não pode editar, excluir ou desabilitar endereços IP adicionados automaticamente a partir de GitHub Apps.
Observação: os endereços na lista de IP permitidos de um GitHub App só afetam as solicitações feitas por instalações do GitHub App. A adição automática do endereço IP de GitHub App à lista de permissão de uma organização não permite acesso a um usuário de GitHub Enterprise Cloud que se conecta a partir desse endereço IP.
Para obter mais informações sobre como criar uma lista de permissões para um GitHub App criado por você, confira "Como gerenciar os endereços IP permitidos para um Aplicativo do GitHub".
Para habilitar a adição automática de endereço IP para GitHub Apps:
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de autenticação.
-
Selecione Habilitar configuração da lista de permissões de IP para Aplicativos do GitHub instalados. Se você estiver usando Enterprise Managed Users com o OIDC, primeiro selecione GitHub como sua configuração de lista de permissões de IP, depois selecione Habilitar configuração de lista de permissões de IP para Aplicativos do GitHub instalados.
-
Clique em Save (Salvar).
Editar endereços IP permitidos
Você pode editar uma entrada na lista de permissões de IP. Se você editar uma entrada habilitada, as alterações serão impostas imediatamente.
Ao concluir a edição de entradas, você poderá verificar se, após ser habilitada, sua lista de permissões autorizará a conexão de um endereço IP específico.
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de autenticação.
1. Em "Lista de IPs permitidos", à direita da entrada que você deseja editar, clique em Editar.
1. Digite um endereço IP ou um intervalo de endereços, na notação CIDR.
1. Digite uma descrição do endereço IP permitido ou intervalo.
-
Clique em Atualizar.
-
Opcionalmente, verifique se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista. Para obter mais informações, confira "Como verificar se um endereço IP é permitido".
Verificando se um endereço IP é permitido
Você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista de permissões de IP, mesmo que a lista não esteja habilitada no momento.
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de autenticação.
1. Em "Verificar endereço IP", insira um endereço IP.
Excluir endereços IP permitidos
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de autenticação.
1. Em "Lista de IPs permitidos", à direita da entrada que você deseja excluir, clique em Excluir.
1. Para excluir a entrada permanentemente, clique em Sim, excluir esta entrada da lista de IPs permitidos.
Como usar a lista de permissões do seu provedor de identidade
Nota: o uso da lista de permissões do IdP só tem suporte para Enterprise Managed Users com Azure AD e OIDC.
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e clique em Suas organizações.
2. Ao lado da organização, clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
-
Em "Lista de permissões de IP", selecione o menu suspenso e clique em Provedor de Identidade.
-
Como alternativa, para permitir que os GitHub e OAuth Apps acessem sua empresa de qualquer endereço IP, selecione Ignorar a verificação do IdP nos aplicativos.
-
Clique em Salvar.
Usar GitHub Actions com uma lista endereços IP permitidos
Aviso: se você usa uma lista de permissões de IP e também deseja adotar GitHub Actions, você precisar usar executores auto-hospedados ou executores maiores hospedados no GitHub com um intervalo de endereços IP estáticos. Para obter mais informações, confira "Como hospedar executores próprios" ou "Como usar executores maiores".
Para permitir que seus executores auto-hospedados ou executores maiores hospedados se comuniquem com o GitHub, adicione o endereço IP (ou o intervalo de endereços IP) dos seus executores à lista de permissões de IP que você configurou para sua empresa.