Skip to main content

Sobre o suporte para a Política de Acesso Condicional do IdP

Quando sua empresa adotar o SSO do OIDC, o GitHub poderá validar o acesso à sua empresa e aos recursos dela usando a CAP (Política de Acesso Condicional) do IdP.

Para gerenciar os usuários na sua empresa com seu provedor de identidade, a empresa precisa estar habilitada para os Enterprise Managed Users, que estão disponíveis no GitHub Enterprise Cloud. Para obter mais informações, confira "Sobre os Enterprise Managed Users".

Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para Azure AD.

Sobre o suporte a Políticas de Acesso Condicional

Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações do usuário com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é usado.

O GitHub Enterprise Cloud dá suporte à CAP para qualquer enterprise with managed users em que o SSO do OIDC esteja habilitado. O GitHub Enterprise Cloud impõe as condições de IP do seu IdP, mas não pode impor as condições de conformidade do seu dispositivo. Os proprietários corporativos podem optar por usar essa configuração de lista de permissões de IP em vez da lista de permissões de IP do GitHub Enterprise Cloud, e podem fazer isso depois que o SSO do OIDC for configurado. Para obter mais informações sobre as listas de permissões de IP, confira "Como restringir o tráfego de rede com uma lista de permissões de IP" e "Como gerenciar endereços IP permitidos na sua organização".

Para obter mais informações sobre como usar o OIDC com o Enterprise Managed Users, confira "Como configurar o OIDC para usuários gerenciados pela empresa" e "Como migrar do SAML para o OIDC".

Considerações sobre integrações e automações

GitHub envia o endereço IP de origem para seu IdP para validação em relação à sua CAP. Para garantir que ações e aplicativos não sejam bloqueados pela CAP do IdP, você precisará fazer alterações na configuração.

Aviso: se você usar o GitHub Enterprise Importer para migrar uma organização do your GitHub Enterprise Server instance, use uma conta de serviço isenta do CAP do Azure AD, caso contrário, a migração poderá ser bloqueada.

GitHub Actions

As ações que usam um personal access token provavelmente serão bloqueadas pela CAP do seu IdP. Recomendamos que os personal access token sejam criados por uma conta de serviço que fique isenta de controles de IP na CAP do seu IdP.

Se você não conseguir usar uma conta de serviço, outra opção para desbloquear ações que usam personal access token será permitir os intervalos de IP usados pelas GitHub Actions. Para obter mais informações, confira "Sobre os endereços IP do GitHub".

GitHub Apps e OAuth Apps

Quando o GitHub Apps e OAuth Apps fizerem solicitações em nome de um membro, o GitHub enviará o endereço IP do servidor do aplicativo para o IdP para validação. Se o endereço IP do servidor do aplicativo não for validado pela CAP do IdP, a solicitação falhará.

Entre em contato com os proprietários dos aplicativos que deseja usar, solicite seus intervalos de IP e configure a CAP do IdP para permitir o acesso desses intervalos de IP. Se não conseguir contatar os proprietários, você poderá examinar os logs de entrada do IdP para examinar os endereços IP vistos nas solicitações e, em seguida, inserir esses endereços na lista de permissões.

Se não quiser permitir todos os intervalos de IP para todos os aplicativos da sua empresa, você também poderá isentar os GitHub Apps instalados e os OAuth Apps autorizados da lista de permissões do IdP. Se fizer isso, esses aplicativos seguirão funcionando independentemente do endereço IP de origem. Para obter mais informações, confira "Como impor políticas para configurações de segurança na sua empresa".