Sobre os Enterprise Managed Users

Neste artigo

Você pode gerenciar centralmente a identidade e o acesso dos integrantes da empresa em GitHub a partir do seu provedor de identidade.

Sobre os Enterprise Managed Users

Com Enterprise Managed Users, você pode controlar as contas de usuário dos integrantes da empresa por meio do provedor de identidade (IdP). Os usuários atribuídos ao aplicativo GitHub Enterprise Managed User no seu IdP são provisionados como novas contas de usuário em GitHub e adicionados à sua empresa. Você controla nomes de usuários, dados de perfil, associações a equipes e acesso a repositórios das contas de usuário por meio do IdP.

No IdP, você pode dar a cada conta de usuário gerenciada a função do proprietário corporativo, usuário ou gerente de cobrança. Contas de usuário gerenciadas podem ter organizações dentro da empresa e adicionar outros contas de usuário gerenciadas às organizações e equipes internamente. Para obter mais informações, confira "Funções em uma empresa" e "Sobre organizações."

Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações do usuário com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é usado. Para obter mais informações, confira "Sobre o suporte para a Política de Acesso Condicional do IdP."

Você pode permitir que os contas de usuário gerenciadas acessem repositórios na empresa e contribuam neles, mas os contas de usuário gerenciadas não podem criar conteúdo público nem colaborar com outros usuários, organizações e empresas no restante do GitHub. Para obter mais informações, confira "Habilidades e restrições de contas de usuário gerenciadas".

Os nomes de usuários que são contas de usuário gerenciadas da empresa e as respectivas informações de perfil como, nomes de exibição e endereços de email, são definidos por meio do IdP e não podem ser alterados pelos próprios usuários. Para obter mais informações, confira "Nomes de usuário e informações de perfil".

Os proprietários corporativos podem auditar todas as ações de contas de usuário gerenciadas no GitHub. Para obter mais informações, confira "Auditar eventos de log para sua empresa".

Para usar Enterprise Managed Users, você precisa de um tipo de conta corporativa separado com Enterprise Managed Users habilitado. Para obter mais informações sobre como criar essa conta, confira "Introdução ao Enterprise Managed Users".

Observação: há várias opções para gerenciamento de identidade e acesso com o GitHub Enterprise Cloud. O Enterprise Managed Users não é a melhor solução para todos os clientes. Para saber se o Enterprise Managed Users é adequado para sua empresa, confira "Como identificar o melhor método de autenticação para sua empresa."

Sobre o gerenciamento de associação da organização

As associações da organização podem ser gerenciadas manualmente ou você pode atualizá-las automaticamente usando grupos do IdP. Para gerenciar associações da organização por meio do IdP, os membros precisam ser adicionados a um grupo do IdP e esse grupo precisa estar conectado a uma equipe dentro da organização. Para obter mais informações de como gerenciar a organização e a associação de equipe automaticamente, confira "Gerenciando associações de equipes com grupos de provedores de identidade."

A maneira em que um membro é adicionado a uma organização pertencente à empresa (por meio de grupos do IdP ou manualmente) determina como ele deve ser removido de uma organização.

  • Se um membro foi adicionado a uma organização manualmente, você deverá removê-lo manualmente. O cancelamento a atribuição do aplicativo GitHub Enterprise Managed User no IdP suspende o usuário, mas não o remove da organização.
  • Se um usuário se tornou membro de uma organização porque foi adicionado a grupos do IdP mapeados para uma ou mais equipes na organização, quando ele for removido de todos os grupos do IdP mapeados associados à organização, ele será removido da organização.

Para descobrir como um membro foi adicionado a uma organização, você pode filtrar a lista de membros por tipo. Para obter mais informações, confira "Visualizar pessoas na sua empresa".

Suporte do provedor de identidade

Provedor de identidadeSAMLOIDC
Azure Active Directory
Okta
PingFederate (beta público)

Observação: Enterprise Managed Users requer o uso de um IdP para SAML e SCIM. Confirme se você comprou uma versão do IdP que inclui SCIM.

Habilidades e restrições de contas de usuário gerenciadas

Os Contas de usuário gerenciadas só podem contribuir para repositórios privados e internos da empresa e repositórios privados pertencentes à conta de usuário. Os Contas de usuário gerenciadas têm acesso somente leitura a toda a comunidade ampla do GitHub. Estas restrições de acesso e visibilidade para usuários e conteúdo aplicam-se a todas as solicitações, incluindo solicitações da API.

  • Contas de usuário gerenciadas realiza a autenticação usando apenas seu provedor de identidade e não há senha ou métodos de autenticação de dois fatores armazenados em GitHub. Como resultado, ele não vê o prompt sudo ao executar ações confidenciais. Para obter mais informações, confira "Modo sudo".
  • Os Contas de usuário gerenciadas não podem ser convidados para organizações ou repositórios fora da empresa e os contas de usuário gerenciadas não podem ser convidados para outras empresas.
  • Os Contas de usuário gerenciadas e o conteúdo que criam é visível apenas para outros membros da empresa.
  • Os outros usuários do GitHub não podem ver, mencionar nem convidar um conta de usuário gerenciada para colaborar.
  • Contas de usuário gerenciadas pode exibir todos os repositórios públicos no GitHub.com, mas não pode interagir com repositórios fora da empresa de nenhuma das seguintes formas:
    • Enviar código por push para o repositório
    • Criar problemas ou solicitações de pull no repositório
    • Criar ou comentar discussões no repositório
    • Comentar sobre problemas ou solicitações de pull ou adicionar reações a comentários
    • Adicionar aos favoritos, assistir ou criar fork do repositório
  • Os Contas de usuário gerenciadas não podem criar gists nem comentários em gists.
  • Os Contas de usuário gerenciadas não podem seguir usuários fora da empresa.
  • Os Contas de usuário gerenciadas não podem criar fluxos de trabalho iniciais para o GitHub Actions.
  • Os Contas de usuário gerenciadas não podem instalar GitHub Apps nas contas de usuário.
  • O Contas de usuário gerenciadas poderá instalar o GitHub App em um repositório se o aplicativo não solicitar permissões de organização e se o conta de usuário gerenciada tiver acesso de administrador aos repositórios que o aplicativo terá permissão para acessar.
  • O Contas de usuário gerenciadas poderá instalar o GitHub App em uma organização se o aplicativo não solicitar permissões de organização e se o conta de usuário gerenciada for um proprietário da organização.
  • Você pode escolher se os contas de usuário gerenciadas podem criar repositórios pertencentes às respectivas contas de usuário. Para obter mais informações, confira "Aplicar as políticas de gerenciamento do repositório na sua empresa".
  • Se você permitir que os contas de usuário gerenciadas criem repositórios pertencentes às respectivas contas de usuário, eles só poderão ter repositórios privados e convidar outros membros corporativos para colaborar nos repositórios de propriedade do usuário.
  • Os Contas de usuário gerenciadas não podem criar fork de repositórios de fora da empresa. Contas de usuário gerenciadas pode criar fork de repositórios privados ou internos pertencentes a organizações da empresa em seu namespace de conta de usuário ou em outras organizações pertencentes à empresa, conforme especificado pela política corporativa.
  • Apenas repositórios privados e internos podem ser criados em organizações pertencentes a um empresa com usuários gerenciados, dependendo das configurações de visibilidade da organização e do repositório corporativo.
  • Os colaboradores externos não são compatíveis com Enterprise Managed Users.
  • Os Contas de usuário gerenciadas são limitados quanto ao uso de GitHub Pages. Para obter mais informações, confira "Sobre o GitHub Pages".
  • Os Contas de usuário gerenciadas só podem criar e usar codespaces que são de propriedade e pagos pelas respectivas organizações ou empresas. Isso significa que os contas de usuário gerenciadas:
    • Podem criar codespaces para repositórios pertencentes às respectivas organizações ou forks desses repositórios, desde que a organização possa pagar por GitHub Codespaces. Para obter mais informações, confira "Como escolher quem tem a propriedade e paga pelos codespaces em sua organização".
    • Não podem criar codespaces para os respectivos repositórios pessoais, exceto no caso de forks de repositórios pertencentes à organização, de quaisquer outros repositórios fora da organização ou de modelos públicos da GitHub para o GitHub Codespaces.
    • Não é possível publicar um codespace criado com base em um modelo em um novo repositório.

Introdução aos Enterprise Managed Users

Para que os desenvolvedores possam usar o GitHub Enterprise Cloud com o Enterprise Managed Users, você precisa seguir uma série de etapas de configuração.

  1. Para usar Enterprise Managed Users, você precisa de um tipo de conta corporativa separado com Enterprise Managed Users habilitado. Para experimentar Enterprise Managed Users ou para discutir opções para a migração da sua empresa existente, entre em contato com a Equipe de vendas do GitHub.

    Seu ponto de contato na equipe do GitHub Sales de vendas vai trabalhar com você para criar um empresa com usuários gerenciados. Você deverá fornecer o endereço de e-mail para o usuário que irá configurar sua empresa e um código curto que será usado como sufixo para os nomes de usuários da sua empresa. O código curto precisa ser exclusivo da sua empresa, uma cadeia de caracteres alfanumérica de três a oito caracteres e não deve conter caracteres especiais. Para obter mais informações, confira "Nomes de usuário e informações de perfil".

  2. Após criarmos sua empresa, você receberá um e-mail de GitHub convidando você a escolher uma senha para o usuário de configuração da sua empresa, que será o primeiro proprietário da empresa. Use uma janela de navegação anônima ou privada ao definir a senha e salvar os códigos de recuperação do usuário. O usuário de configuração é usado apenas para configurar a integração entre o logon único e o provisionamento do SCIM para a empresa. Ele não terá mais permissão para acessar as configurações da empresa ou da organização depois que o SSO for configurado, a menos que um código de recuperação de SSO seja usado.

    O nome do usuário de configuração é o código curto da sua empresa com o sufixo _admin (por exemplo, fabrikam_admin). Se você precisar entrar como usuário de configuração mais tarde, poderá inserir o nome de usuário e a senha em qualquer página de logon. Um link para a página de logon também é fornecido na página de SSO, por conveniência.

    Caso precise redefinir a senha para o usuário de instalação, entre em contato com o Suporte do GitHub por meio do Portal de Suporte do GitHub.

  3. Depois que você entrar como o usuário de configuração, recomendamos que habilite a autenticação de dois fatores. A senha e as credenciais de dois fatores do usuário de configuração também podem ser usadas para entrar no modo sudo, que é necessário para executar ações confidenciais. Para obter mais informações, confira "Configurar a autenticação de dois fatores" e "Modo sudo."

  4. Para começar, configure como os membros serão autenticados. Se você estiver usando o Azure Active Directory como provedor de identidade, poderá escolher entre o OIDC (OpenID Connect) e o SAML (Security Assertion Markup Language). Recomendamos o OIDC, que inclui suporte para CAP (Políticas de Acesso Condicional). Se você precisar de várias empresas com contas de usuário gerenciadas provisionados por meio de um locatário, será necessário usar SAML para cada empresa após a primeira. Se você está usando outro provedor de identidade, como Okta ou PingFederate (beta público), pode usar SAML para autenticar seus membros.

    Para começar, leia o guia do método de autenticação escolhido.

  5. Depois de configurar o SSO, você poderá configurar o provisionamento do SCIM. O SCIM é a forma como o seu provedor de identidade criará contas de usuário gerenciadas no GitHub.com. Para obter mais informações sobre como configurar o provisionamento SCIM, confira "Configurando o provisionamento de SCIM para usuários gerenciados pela empresa."

  6. Depois que a autenticação e o provisionamento forem configurados, você poderá começar a gerenciar a associação à organização para os contas de usuário gerenciadas sincronizando os grupos de IdP com as equipes. Para obter mais informações, confira "Gerenciando associações de equipes com grupos de provedores de identidade".

Se os membros da sua empresa precisarem usar uma estação de trabalho para contribuir com os repositórios no GitHub.com por meio de um conta de usuário gerenciada e de uma conta pessoal, você poderá fornecer suporte. Para obter mais informações, confira "Suporte a desenvolvedores com várias contas de usuário em GitHub.com".

Fazer a autenticação como um conta de usuário gerenciada

Os Contas de usuário gerenciadas precisam fazer a autenticação por meio do provedor de identidade. Para fazer a autenticação, um conta de usuário gerenciada pode acessar o portal do aplicativo do IdP ou usar a página de logon no GitHub.com.

Por padrão, quando um usuário não autenticado tenta acessar uma empresa que usa Enterprise Managed Users, o GitHub exibe um erro 404. Opcionalmente, um proprietário corporativo pode habilitar redirecionamentos automáticos para SSO (logon único) em vez do 404. Para obter mais informações, confira "Aplicando políticas para configurações de segurança na sua empresa".

Se um erro de configuração do SAML ou um problema com o IdP (provedor de identidade) impedir que você use o SSO do SAML, use um código de recuperação para acessar sua empresa. Para obter mais informações, confira "Gerenciando códigos de recuperação para a sua empresa".

Fazer a autenticação como conta de usuário gerenciada por meio do GitHub.com

  1. Navegue até https://github.com/login.
  2. Na caixa de texto "Nome de usuário ou endereço de e-mail", insira seu nome de usuário, incluindo o sublinhado e o código curto. Ao reconhecer seu nome de usuário, o formulário será atualizado. Você não precisa digitar sua senha neste formulário.
  3. Para continuar acessando o provedor de identidade, clique em Entrar com seu provedor de identidade.

Nome de usuário e informações de perfil

O GitHub Enterprise Cloud cria automaticamente um nome de usuário para cada pessoa normalizando um identificador fornecido pelo IdP. Para obter mais informações, confira "Considerações de nome de usuário para autenticação externa".

Um conflito poderá ocorrer ao provisionar usuários se as partes exclusivas do identificador fornecidas pelo IdP forem removidas durante a normalização. Se você não puder provisionar um usuário devido a um conflito de nome de usuário, você deverá modificar o nome de usuário fornecido pelo IdP. Para obter mais informações, confira "Considerações de nome de usuário para autenticação externa".

Observação: como o GitHub adiciona um sublinhado e um código curto ao identificador normalizado fornecido pelo IdP ao criar cada nome de usuário, os conflitos só podem ocorrer dentro de cada empresa com usuários gerenciados. O Contas de usuário gerenciadas pode compartilhar identificadores de IdP ou endereços de email com outras contas de usuário no GitHub.com que são externas à empresa.

O nome do perfil e o endereço de email de um conta de usuário gerenciada também é fornecido pelo IdP. Os Contas de usuário gerenciadas não podem alterar o nome de perfil nem o endereço de email no GitHub e o IdP pode fornecer um só endereço de email.

Suporte a desenvolvedores com várias contas de usuário em GitHub.com

As pessoas da equipe talvez precisem contribuir com recursos em GitHub.com que estão fora da empresa com usuários gerenciados. Por exemplo, talvez você deseje manter uma empresa separada para os projetos de código aberto da sua empresa. Como um conta de usuário gerenciada não pode contribuir com recursos públicos, os usuários precisarão manter uma conta pessoal separada para esse trabalho.

As pessoas que precisam contribuir com duas contas de usuário em GitHub.com usando uma estação de trabalho podem configurar o Git para simplificar o processo. Para obter mais informações, confira "Como gerenciar várias contas".