Sobre a autenticação para sua empresa
Proprietários do Enterprise no GitHub Enterprise Cloud podem controlar os requisitos de autenticação e acesso aos recursos da empresa.
Você pode optar por permitir que os membros criem e gerenciem contas de usuário ou a empresa pode criar e gerenciar as contas dos membros com Enterprise Managed Users. Se você permitir que os membros gerenciem suas próprias contas, também poderá configurar a autenticação SAML para aumentar a segurança e centralizar a identidade e o acesso para os aplicativos Web que sua equipe usa.
Depois de conhecer melhor essas opções, para determinar qual método é melhor para sua empresa, confira "Como identificar o melhor método de autenticação para sua empresa".
Métodos de autenticação para GitHub Enterprise Cloud
As opções a seguir estão disponíveis para gerenciamento e autenticação de conta no GitHub Enterprise Cloud.
Autenticação por meio de GitHub.com
Por padrão, cada membro precisa criar uma conta pessoal em GitHub.com. Você permite acesso à empresa para que o membro possa acessar os recursos corporativos depois de entrar na conta em GitHub.com. O membro gerencia a conta e pode contribuir com outras empresas, organizações e repositórios em GitHub.com.
Autenticação por meio de GitHub.com com restrição adicional de acesso SAML
Se você configurar uma restrição adicional de acesso SAML, cada membro precisará criar e gerenciar uma conta pessoal em GitHub.com. Você permite acesso à empresa, e o membro pode acessar os recursos dela depois de entrar na conta em GitHub.com e se autenticar com êxito no IdP (provedor de identidade) de SAML. O membro pode contribuir com outras empresas, organizações e repositórios em GitHub.com usando a respectiva conta pessoal. Para obter mais informações sobre como exigir a autenticação SAML para todo o acesso aos recursos da sua empresa, confira "Sobre SAML para IAM empresarial".
Você pode escolher entre configurar o SAML no nível corporativo, que aplica a mesma configuração SAML a todas as organizações dentro da empresa e configurar o SAML separadamente para organizações individuais. Para obter mais informações, confira "AUTOTITLE".
Autenticação com Enterprise Managed Users e federação
Se você precisar de mais controle das contas para os membros da empresa em GitHub.com, use Enterprise Managed Users. Com o Enterprise Managed Users, você provisiona e gerencia contas para os membros da empresa em GitHub.com usando o IdP. Cada membro entra em uma conta que você cria, e sua empresa gerencia a conta. As contribuições para o restante do GitHub.com são restritas. Para obter mais informações, confira "Sobre os Enterprise Managed Users".
Como identificar o melhor método de autenticação para sua empresa
O SSO do SAML e Enterprise Managed Users aumentam a segurança dos recursos da empresa. Os Enterprise Managed Users também permitem que você controle as contas de usuário dos membros da empresa e restringe o que as contas podem fazer. No entanto, essas restrições poderão ser inaceitáveis para sua empresa se atrapalharem os fluxos de trabalho dos desenvolvedores.
Para determinar qual opção seria melhor para sua empresa, o SSO do SAML ou o Enterprise Managed Users, faça as perguntas a seguir.
Você quer controlar as contas dos usuários?
Os Enterprise Managed Users são adequados para a empresa se você não quer que os membros da empresa usem as próprias contas pessoais no GitHub.com para acessar os recursos da empresa.
Com o SSO do SAML, os desenvolvedores criam e gerenciam as próprias contas pessoais e cada conta é vinculada a uma identidade do SAML no IdP. Os Enterprise Managed Users funcionam mais como outras soluções de SSO conhecidas, pois você provisiona as contas para os usuários. Você também pode garantir que as contas de usuário estejam em conformidade com a identidade da empresa controlando os nomes de usuário e os endereços de email associados às contas.
Se, no momento, você exige que os usuários criem uma conta no GitHub.com para usar somente com sua empresa, os Enterprise Managed Users podem ser uma opção adequada. No entanto, o SSO do SAML pode ser uma opção melhor se você usa o IdP como fonte de verdade para o usuário e o uso do gerenciamento de acesso seria muito complexo. Por exemplo, talvez a empresa não tenha um processo estabelecido para integrar novos usuários ao IdP.
Qual provedor de identidade a empresa usa?
O Enterprise Managed Users é compatível com um número limitado de IdPs e exige o SCIM, enquanto o SSO do SAML oferece suporte completo a um número maior de IdPs, além de suporte limitado a todos os IdPs que implementam o padrão SAML 2.0, e não exige o SCIM. Para ver a lista de IdPs com suporte para cada opção, confira "Sobre os Enterprise Managed Users" e "Sobre SAML para IAM empresarial".
Você pode usar Enterprise Managed Users com um IdP sem suporte somente ao federar o IdP sem suporte a um IdP com suporte a ser usado como um ponto de integração. Para evitar essa complexidade extra, o SSO do SAML pode ser uma solução melhor.
Os desenvolvedores trabalham em repositórios públicos, gists ou sites do GitHub Pages?
Para impedir que os membros da empresa vazem acidentalmente conteúdo empresarial para o público no GitHub.com, os Enterprise Managed Users impõem restrições fortes sobre o que os usuários podem fazer. Por exemplo, contas de usuário gerenciadas não podem criar repositórios públicos, gists de qualquer visibilidade nem sites do GitHub Pages visíveis fora da empresa. Para ver a lista completa de restrições, confira "Sobre os Enterprise Managed Users".
Essas restrições são inaceitáveis para algumas empresas. Para determinar se os Enterprise Managed Users funcionarão no seu caso, examine as restrições com os desenvolvedores e confirme se alguma delas dificultará os fluxos de trabalho existentes. Se dificultarem, o SSO do SAML poderá ser uma opção melhor para sua empresa.
Os desenvolvedores dependem de colaboração fora da empresa?
Contas de usuário gerenciadas apenas podem contribuir em repositórios dentro da empresa. Se os desenvolvedores precisarem contribuir para repositórios dentro e fora da empresa, incluindo repositórios privados, Enterprise Managed Users podem não ser adequados para sua empresa. O SSO do SAML pode ser uma solução melhor.
Algumas empresas mantêm repositórios em uma empresa existente usando o SSO de SAML em GitHub.com e também criam uma empresa com usuários gerenciados. Os desenvolvedores que contribuem em repositórios pertencentes a ambas as empresas por meio de uma só estação de trabalho precisam alternar entre as contas em GitHub.com em um só navegador ou usar um navegador diferente para cada conta. O desenvolvedor também pode precisar personalizar a configuração do Git da estação de trabalho para acomodar as duas contas. A complexidade desse fluxo de trabalho pode aumentar o risco de vazamento de código interno por engano para o público.
Se você decidir criar uma empresa com usuários gerenciados mas exigir que os desenvolvedores contribuam para recursos fora da empresa usando apenas uma estação de trabalho, dê suporte para alternância entre contas na configuração do Git local do desenvolvedor. Para obter mais informações, confira "Sobre os Enterprise Managed Users".
A empresa depende de colaboradores externos?
Com o SSO do SAML, você pode dar acesso a repositórios específicos para pessoas que não são membros do diretório do IdP usando a função de colaborador externo. Isso pode ser útil principalmente para colaboradores externos, como prestadores de serviços. Para obter mais informações, confira "Adicionar colaboradores externos a repositórios em sua organização".
Com Enterprise Managed Users, a função de colaborador externo não existe. Os recursos da empresa só podem ser acessados pelos contas de usuário gerenciadas que são sempre provisionados pelo IdP. Para dar aos colaboradores externos acesso à empresa, seria necessário usar contas de convidado no IdP. Se você estiver interessado em Enterprise Managed Users, confirme com os desenvolvedores se isso dificultará algum dos fluxos de trabalho existentes. Se for dificultar, o SSO do SAML será uma solução melhor.
A empresa pode arcar com custos de migração?
Se a empresa começou a usar o GitHub.com recentemente, a adoção do SSO do SAML ou dos Enterprise Managed Users terá o mesmo nível de facilidade.
Se você já estiver usando o GitHub.com com os desenvolvedores gerenciando as próprias contas de usuário, a adoção de Enterprise Managed Users exigirá a migração para uma nova conta empresarial. Para obter mais informações, confira "Sobre os Enterprise Managed Users".
Embora o uso de Enterprise Managed Users seja gratuito, o processo de migração pode exigir tempo ou custo da equipe. Confirme se esse processo de migração é aceitável para a empresa e os desenvolvedores. Se não for aceitável, o SSO do SAML será a melhor opção para você.
Como decidir se é melhor configurar o SAML no nível corporativo ou da organização
Se você optar por usar o SAML em vez do Enterprise Managed Users, será necessário decidir se vai configurar o SAML no nível da empresa ou da organização.
Se alguns grupos na sua empresa precisarem usar diferentes provedores de autenticação do SAML para permitir acesso aos seus recursos no GitHub.com, configure o SAML para organizações individuais. Você pode implementar o SAML para suas organizações ao longo do tempo, permitindo que os usuários se autentiquem gradualmente usando o SAML. Como alternativa, você pode exigir a autenticação SAML até determinada data. Os membros da organização que não se autenticarem usando o SAML até esta data serão removidos. Para obter mais informações sobre o SAML de nível da organização, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML".
Se você configurar o SAML no nível da organização, os membros não precisarão se autenticar com SAML para acessar repositórios internos. Para obter mais informações sobre os repositórios internos, confira "Sobre repositórios".
Se você precisar proteger repositórios internos ou impor uma experiência de autenticação consistente para cada organização na empresa, configure a autenticação do SAML para a conta corporativa. A configuração do SAML para sua empresa substitui qualquer configuração do SAML para organizações individuais, e as organizações não podem substituir a configuração corporativa. Depois que você configurar o SAML para a empresa, os membros da organização precisarão se autenticar com o SAML para acessar os recursos da organização, incluindo os repositórios internos.
O SCIM não está disponível para contas corporativas e a sincronização de equipes só estará disponível para SAML no nível corporativo se você usar o Azure AD como um IdP. Para obter mais informações, confira "Gerenciando a sincronização de equipes para organizações da sua empresa".
Independentemente da implementação do SAML escolhida, você não pode adicionar colaboradores externos a organizações ou equipes. Você só pode adicionar colaboradores externos a repositórios individuais.