Restricting network traffic to your enterprise with an IP allow list

You can restrict access to your enterprise and only allow access to your resources from specified IP addresses by using an IP allow list.

Quem pode usar esse recurso?

Enterprise owners can configure IP allow lists.

Neste artigo

About network traffic restrictions

By default, authorized users can access your enterprise's resources from any IP address. You can restrict access to your enterprise's private resources by configuring a list that allows or denies access from specific IP addresses. Por exemplo, você pode permitir o acesso aos recursos privados exclusivamente do endereço IP da rede do seu escritório.

Se a lista permitir um endereço IP, um usuário autenticado que se conectar a GitHub.com a partir desse endereço poderá acessar recursos privados. Se o endereço IP do usuário não for permitido, esse usuário não poderá acessar recursos privados até se conectar a partir de um endereço permitido.

Depois de configurar uma lista de permissões de IP, a lista determina se os usuários podem acessar recursos protegidos por meio da interface do usuário da web, APIs ou Git, usando qualquer um dos métodos de autenticação a seguir.

  • Nome de usuário e senha com autenticação, usando GitHub ou SSO do SAML
  • Personal access token
  • Chave SSH

A lista de permissões de IP se aplica a usuários com qualquer função ou acesso, incluindo proprietários de empresas e organizações, administradores de repositório e colaboradores externos.

Se um usuário estiver conectado ao GitHub.com, a lista de permissões de IP determinará se o usuário pode acessar os recursos públicos da organização. A lista não se aplica ao acesso anônimo a recursos públicos.

Somente o acesso a repositórios de propriedade da organização é determinado por uma lista de permissões de IP. A lista não controla o acesso a repositórios ou bifurcações de repositórios pertencentes a um conta de usuário gerenciada.

GitHub Copilot features that do not require directly fetching private or organizational data from GitHub are not restricted by IP allow lists, as the only risk from incorrect use is to GitHub's own compute resources.

If your enterprise uses Enterprise Managed Users with Microsoft Entra ID (previously known as Azure AD) and OIDC, you can choose whether to use GitHub's IP allow list feature or to use the allow list restrictions for your identity provider (IdP). If your enterprise does not use Enterprise Managed Users with Azure and OIDC, you can use GitHub's allow list feature.

About GitHub's IP allow list

You can use GitHub's IP allow list to control access to your enterprise and assets owned by organizations in your enterprise.

Você pode aprovar o acesso para um único endereço IP ou uma série de endereços usando a notação CIDR. Para obter mais informações, confira "Notação CIDR" na Wikipédia.

Para fazer cumprir a lista de permissões de IP, você deve primeiro adicionar endereços IP à lista, e então habilitar a lista de permissões de IP. Após concluir sua lista, você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas da lista de permissões de IP.

É preciso adicionar o endereço IP atual ou um intervalo correspondente antes de habilitar a lista de permissões de IP. Ao habilitar a lista de permissões, os endereços IP que você configurou são imediatamente adicionados às listas de permissões de organizações na sua empresa. Se você desabilitar a lista de autorização, os endereços serão removidos da lista de permissões da organização.

Os proprietários da organização podem adicionar entradas adicionais à lista de permissões para suas organizações, mas não podem gerenciar entradas herdadas da lista de permissões da conta corporativa e os proprietários corporativos não podem gerenciar entradas adicionadas à lista de permissões da organização. Para saber mais, confira "Gerenciar endereços IP permitidos para sua organização".

Você pode escolher adicionar automaticamente à sua lista de permissões qualquer endereço IP configurado para GitHub Apps instalado na sua empresa. O criador de um GitHub App pode configurar uma lista de permissões para o seu aplicativo, especificando os endereços IP em que o aplicativo é executado. Ao herdar a lista de permissões deles para a sua lista, você evita as solicitações de conexão do aplicativo que está sendo recusado. Para obter mais informações, confira "Permitir acesso por Aplicativos do GitHub".

About your IdP's allow list

If you are using Enterprise Managed Users with Entra ID and OIDC, you can use your IdP's allow list.

Using your IdP's allow list deactivates the GitHub IP allow list configurations for all organizations in your enterprise and deactivates the GraphQL APIs for enabling and managing IP allow lists.

By default, your IdP runs the CAP on the initial interactive SAML or OIDC sign-in to GitHub for any IP allow list configuration you choose.

The OIDC CAP only applies for requests to the API using a user token, such as an OAuth token for an OAuth app or a user access token for a GitHub App acting on behalf of a user. The OIDC CAP does not apply when a GitHub App uses an installation access token. For more information, see "Sobre a autenticação com um GitHub App" and "About support for your IdP's Conditional Access Policy."

To ensure seamless use of the OIDC CAP while still applying the policy to OAuth tokens and user access tokens, you must copy all of the IP ranges from each GitHub App that your enterprise uses to your IdP policy.

Using GitHub's IP allow list

Enabling GitHub's IP allow list

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
  4. If you're using Enterprise Managed Users with OIDC, under "IP allow list", select the IP allow list configuration dropdown menu and click GitHub.
  5. Under "IP allow list", select Enable IP allow list.
  6. Click Save.

Adding an allowed IP address

Você pode criar uma lista de permissões de IP adicionando entradas que contêm um endereço IP ou um intervalo de endereços. Após concluir a adição de entradas, você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas da lista de permissões de IP.

Antes de a lista restringir o acesso a ativos privados pertencentes a organizações em sua empresa, você também deve habilitar os endereços IP permitidos.

Observação: a GitHub está distribuindo gradualmente o suporte para IPv6. À medida que os serviços do GitHub continuarem a adicionar suporte a IPv6, começaremos a reconhecer endereços IPv6 de usuários do GitHub. Para evitar possíveis interrupções de acesso, verifique se você adicionou todos os endereços IPv6 necessários à sua lista de permissões de IP.

Nota: devido ao cache, a inclusão ou a remoção endereços IP pode levar alguns minutos para entrar totalmente em vigor.

  1. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Na barra lateral da conta corporativa, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Na parte inferior da seção "Lista de permissões de IP", no campo "Endereço IP ou intervalo na notação CIDR", digite um endereço IP ou um intervalo de endereços na notação CIDR.

    Captura de tela das configurações da lista de permissões de IP. Um campo de texto, rotulado como "Endereço IP ou intervalo na notação CIDR", é realçado com um contorno laranja.

  6. Opcionalmente, no campo "Breve descrição do endereço IP ou intervalo", insira uma descrição do endereço IP ou intervalo permitido.

  7. Clique em Adicionar.

  8. Opcionalmente, verifique se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista. Para obter mais informações, confira "Como verificar se um endereço IP é permitido".

Allowing access by GitHub Apps

Se você estiver usando uma lista de permissões, você também pode optar por adicionar automaticamente à sua lista de permissões todos os endereços IP configurados em GitHub Apps que estão instalados na sua empresa.

Se você selecionar Habilitar a configuração de lista de permissões de IP para aplicativos GitHub instalados em suas configurações de lista de permissões, os endereços IP dos dados GitHub Apps serão adicionados a sua lista de permissões. Isso acontece independentemente de a sua lista de permissão estar habilitada. Se você instalar um GitHub App, o criador desse aplicativo muda o endereço na sua lista de permissões e esta é atualizada automaticamente com essas alterações.

Você pode identificar os endereços IP que foram automaticamente adicionados de GitHub Apps revisando o campo de descrição. A descrição para esses endereços IP é: "Gerenciado pelo NOME do aplicativo GitHub". Ao contrário dos endereços adicionados manualmente, você não pode editar, excluir ou desabilitar endereços IP adicionados automaticamente a partir de GitHub Apps.

Observação: os endereços na lista de IP permitidos de um GitHub App só afetam as solicitações feitas por instalações do GitHub App. A adição automática do endereço IP de GitHub App à lista de permissão de uma organização não permite acesso a um usuário de GitHub Enterprise Cloud que se conecta a partir desse endereço IP.

Para saber mais sobre como criar uma lista de permissões para um GitHub App criado por você, confira "Gerenciando endereços IP permitidos para um aplicativo GitHub".

Para habilitar a adição automática de endereço IP para GitHub Apps:

  1. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Na barra lateral da conta corporativa, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "Lista de IPs permitidos", selecione Habilitar configuração da lista de IPs permitidos para Aplicativos do GitHub instalados.

    Nota: Se você estiver usando Enterprise Managed Users com o OIDC, só poderá permitir o acesso por Aplicativos do GitHub se usar GitHub para a configuração da lista de permissões de IP.

  6. Clique em Save (Salvar).

Editing an allowed IP address

Você pode editar uma entrada na lista de permissões de IP. Se você editar uma entrada habilitada, as alterações serão impostas imediatamente.

Ao concluir a edição de entradas, você poderá verificar se, após ser habilitada, sua lista de permissões autorizará a conexão de um endereço IP específico.

  1. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Na barra lateral da conta corporativa, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "Lista de IPs permitidos", ao lado da entrada que deseja editar, clique em Editar.

  6. No campo "IP Address" (Endereço IP), digite um endereço IP ou um intervalo de endereços, na notação CIDR.

  7. No campo "Descrição", digite uma descrição do endereço IP ou intervalo permitido.

  8. Click Update.

  9. Opcionalmente, verifique se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista. Para obter mais informações, confira "Como verificar se um endereço IP é permitido".

Checking if an IP address is permitted

Você pode verificar se um endereço IP específico seria permitido por qualquer uma das entradas habilitadas em sua lista de permissões de IP, mesmo que a lista não esteja habilitada no momento.

  1. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Na barra lateral da conta corporativa, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. No final da seção "Lista de permissões de IP", em "Verificar endereço IP", insira um endereço IP.

    Captura de tela do campo de texto "Verificar endereço IP".

Deleting an allowed IP address

Nota: devido ao cache, a inclusão ou a remoção endereços IP pode levar alguns minutos para entrar totalmente em vigor.

  1. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Na barra lateral da conta corporativa, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "Lista de IPs permitidos", ao lado da entrada que deseja excluir, clique em Excluir.

  6. Para excluir a entrada permanentemente, clique em Sim, excluir esta entrada da lista de IPs permitidos.

Using your identity provider's allow list

Note: Using your IdP's allow list is only supported for Enterprise Managed Users with Entra ID and OIDC.

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
  4. Under "IP allow list", select the IP allow list configuration dropdown menu and click Identity Provider.
  5. Optionally, to allow installed GitHub and OAuth apps to access your enterprise from any IP address, select Skip IdP check for applications.
  6. Click Save.

Using GitHub Actions with an IP allow list

Aviso: se você usa uma lista de permissões de IP e também deseja adotar GitHub Actions, você precisar usar executores auto-hospedados ou executores maiores hospedados no GitHub com intervalos de endereços IP estáticoss. Ao usar a rede privada do Azure, os IPs da sua sub-rede do Azure devem ser usados. Para reduzir o número de IPs necessários, recomendamos a criação de um balanceador de carga a fim de fornecer um único intervalo de IP para a lista de permissões do GitHub. Para obter mais informações, confira "Sobre executores auto-hospedados" ou "Sobre executores maiores".

Para permitir que seus executores auto-hospedados ou executores maiores hospedados se comuniquem com o GitHub, adicione o endereço IP (ou o intervalo de endereços IP) dos seus executores à lista de permissões de IP que você configurou para sua empresa.

Using GitHub Pages with an IP allow list

Se você usar um fluxo de trabalho personalizado do GitHub Actions como uma fonte de publicação para seu site do GitHub Pages, para permitir que o executor se conecte e crie o site, você deverá configurar uma regra para sua lista de IP permitidos.

Se você não usar um fluxo de trabalho personalizado, o executor da compilação terá acesso ao repositório do site GitHub Pages por padrão. Para obter mais informações sobre fontes de publicação, consulte "Configurando uma fonte de publicação para seu site do GitHub Pages".