Skip to main content

Sobre o suporte para a Política de Acesso Condicional do seu IdP

Quando sua empresa usa o SSO do OIDC, a GitHub validará o acesso à sua empresa e aos seus recursos usando a Política de Acesso Condicional do seu dispositivo (CAP).

To manage users in your enterprise with your identity provider, your enterprise must be enabled for Enterprise Managed Users, which are available with GitHub Enterprise Cloud. Para obter mais informações, consulte "Sobre Enterprise Managed Users."

Note: OpenID Connect (OIDC) and Conditional Access Policy (CAP) support for Enterprise Managed Users is in public beta and only available for Azure AD.

Sobre o suporte para políticas de acesso condicional

When your enterprise uses OIDC SSO, GitHub will automatically use your IdP's conditional access policy (CAP) IP conditions to validate user interactions with GitHub, when members change IP addresses, and each time a personal access token or SSH key is used.

O suporte ao CAP é habilitado automaticamente para qualquer enterprise with managed users que habilite o SSO do OIDC e não possa ser desabilitado. GitHub aplica as condições de IP do seu IdP, mas não as condições de conformidade do dispositivo.

Para obter mais informações sobre o uso do OIDC com Enterprise Managed Users, consulte "Configurando o OIDC para usuários gerenciados corporativos" e "Migrando do SAML para o OIDC."

Sobre o uso do CAP com listas de permissão de IP

Recomendamos deasabilitar a lista de permissão da sua conta corporativa e confiar no CAP do seu IdP. Se você habilitar as listas de permissão do IP para sua empresa e também fizer uso do CAP do seu IdP, tanto a lista de permissões de IP quanto o CAP serão aplicados. Se alguma restrição rejeitar o endereço IP de um usuário, ocorrerá uma falha na solicitação. Para obter mais informações sobre a lista de permissão de IP, consulte "Aplicando políticas de segurança na sua empresa".

Considerações para integrações e automações

GitHub envia o endereço IP originário para o seu IdP para validação com base no seu CAP. Para garantir que as ações e aplicativos não sejam bloqueados pelo CAP do seu IdP, você deverá fazer alterações na sua configuração.

Warning: If you use Importador do GitHub Enterprise to migrate an organization from sua instância do GitHub Enterprise Server, make sure to use a service account that is exempt from Azure AD's CAP otherwise your migration may be blocked.

GitHub Actions

As ações que usam um token de acesso pessoal provavelmente serão bloqueadas pelo CAP do seu IdP. Recomendamos que os tokens de acesso pessoal sejam criados por uma conta de serviço que é isenta de controles IP no CAP do seu IdP.

Se você não puder usar uma conta de serviço, outra opção para desbloquear ações que usam tokens de acesso pessoal é permitir as faixas IP usadas por GitHub Actions. Para obter mais informações, consulte "Sobre os endereços IP do GitHub".

Aplicativos do GitHub e Aplicativos OAuth

Quando Aplicativos do GitHub e Aplicativos OAuth fizerem solicitações em nome de um integrante, GitHub enviará o endereço IP do servidor do aplicativo para o seu IdP para validação. Se o endereço IP do servidor do aplicativo não for validado pelo CAP do seu IdP, a solicitação falhará.

Você pode entrar em contato com os proprietários dos aplicativos que deseja usar, pedir suas faixas de IP e configurar o CAP do seu IdP para permitir o acesso a partir dessas faixas de IP. Se você não puder entrar em contato com os proprietários, você poderá revisar seus logins de IdP para revisar os endereços IP vistos nas solicitações e, em seguida, permitir listar esses endereços.

Você também pode habilitar a configuração de lista de permissões para Aplicativos do GitHub instalado. Quando habilitados, todos os Aplicativos do GitHub e Aplicativos OAuth continuarão trabalhando independentemente do endereço IP originário. Para obter mais informações, consulte "Aplicando políticas de segurança na sua empresa".