Sobre políticas para configurações de segurança na sua empresa
É possível aplicar políticas para controlar as configurações de segurança das organizações pertencentes à sua empresa em GitHub Enterprise Server. Por padrão, os proprietários da organização podem gerenciar as configurações de segurança.
Exigir autenticação de dois fatores para organizações na sua empresa
Se o sua instância do GitHub Enterprise Server usar uma autenticação LDAP ou interna, proprietários empresariais podem exigir que membros da organização, gerentes de cobrança e colaboradores externos em todas as organizações de propriedade de uma empresa usam a autenticação de dois fatores para proteger as contas de usuário delas.
Antes de poder exigir a autenticação 2FA para todas as organizações pertencentes à sua empresa, você deve habilitar a autenticação de dois fatores para a sua própria conta. Para obter mais informações, confira "Proteger sua conta com a autenticação de dois fatores (2FA)".
Antes de exigir o uso da autenticação de dois fatores, é recomendável notificar os integrantes da organização, colaboradores externos e gerentes de cobrança e pedir que eles configurem 2FA nas contas deles. Os proprietários da organização podem ver se integrantes e colaboradores externos já utilizam 2FA na página People (Pessoas) de cada organização. Para obter mais informações, confira "Ver se os usuários da organização habilitaram a 2FA".
A verificação de códigos de autenticação de dois fatores requer um horário preciso no dispositivo e no servidor do cliente. Os administradores do site devem garantir que a sincronização de horário esteja configurada e seja precisa. Para obter mais informações, confira "Configurar a sincronização de hora".
Avisos:
- Se você exigir autenticação de dois fatores para a sua empresa, os integrantes, colaboradores externos e gerentes de cobrança (incluindo contas bot) em todas as organizações pertencentes à sua empresa que não utilizem 2FA serão removidos da organização e perderão acesso aos repositórios dela. Eles também perderão acesso às bifurcações dos repositórios privados da organização. Se a autenticação de dois fatores for habilitada para a conta deles em até três meses após a remoção da organização, será possível restabelecer as configurações e os privilégios de acesso deles. Para obter mais informações, confira "Como reinstaurar um antigo membro da sua organização".
- Qualquer proprietário da organização, integrante, gerente de cobrança ou colaborador externo em qualquer das organizações pertencentes à sua empresa que desabilite a 2FA para a conta dele depois que você tiver habilitado a autenticação de dois fatores obrigatória será removido automaticamente da organização.
- Se você for o único proprietário de uma empresa que exige autenticação de dois fatores, não poderá desabilitar 2FA para sua conta sem desabilitar a autenticação de dois fatores obrigatória para a empresa.
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "Two-factor authentication" (Autenticação de dois fatores), revise as informações sobre como alterar a configuração. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em Exibir as configurações atuais das suas organizações.
-
Em "Autenticação de dois fatores", selecione Exigir a autenticação de dois fatores para todas as organizações na sua empresa e clique em Salvar.
-
Se solicitado, leia as informações sobre os integrantes e colaboradores externos que serão removidos das organizações pertencentes à sua empresa. Para confirmar a alteração, digite o nome da empresa e clique em Remover membros e exigir a autenticação de dois fatores.
-
Como alternativa, se algum integrante ou colaborador externo for removido das organizações pertencentes à sua empresa, recomendamos enviar um convite para restabelecer os privilégios e o acesso à organização que ele tinha anteriormente. Cada pessoa precisa habilitar a autenticação de dois fatores para poder aceitar o convite.
Gerenciando as autoridades de certificados de SSH da sua empresa
Você pode usar a autoridades de certificados (CA) SSH para permitir que os membros de qualquer organização pertencente à sua empresa acessem os repositórios da organização usando certificados SSH que você fornecer. Enterprise também podem ter permissão para usar o certificado para acessar repositórios de propriedade pessoal. Você pode exigir que os integrantes usem certificados SSH para acessar os recursos da organização, a menos que o SSH esteja desabilitado no seu repositório. Para obter mais informações, consulte "Sobre autoridades certificadas de SSH".
Ao emitir cada certificado de cliente, você deve incluir uma extensão que especifica para qual usuário do GitHub Enterprise Server o certificado serve. Para obter mais informações, confira "Sobre autoridades certificadas de SSH".
Adicionar uma autoridade certificada de SSH
Se você precisar de certificados SSH para sua empresa, os integrantes da empresa deverão usar um URL especial para operações do Git por meio do SSH. Para obter mais informações, confira "Sobre autoridades certificadas de SSH".
Cada autoridade de certificação só pode ser carregada em uma única conta no GitHub Enterprise Server. Se uma autoridade de certificação SSH foi adicionada a uma conta da organização ou da empresa, você não pode adicionar a mesma autoridade de certificação a outra conta da organização ou da empresa no GitHub Enterprise Server.
Se você adicionar uma autoridade de certificação a uma empresa e outra autoridade de certificação a uma organização na empresa, qualquer autoridade de certificação poderá ser usada para acessar os repositórios da organização.
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
À direita de "Autoridades de Certificação SSH", clique em Nova AC.
-
Em "Key," cole sua chave pública SSH.
-
Clique em Adicionar AC.
-
Opcionalmente, para exigir que os membros usem certificados SSH, selecione Exigir Certificados SSH e clique em Salvar.
Observação: quando você exige certificados SSH, os usuários não poderão se autenticar para acessar os repositórios da organização por HTTPS ou com uma chave SSH não assinada.{ % elsif ghec %}, independentemente de a chave SSH estar autorizada para uma organização que requer autenticação por meio de um sistema de identidade externo.
O requisito de certificados SSH, ele não se aplica a GitHub Apps autorizados (incluindo tokens do usuário para o servidor), chaves de implantação, ou a recursos do GitHub, como GitHub Actions, que são ambientes confiáveis no ecossistema do GitHub.
Gerenciando o acesso a repositórios de propriedade do usuário
Você pode habilitar ou desabilitar o acesso a repositórios de propriedade do usuário com um certificado SSH.
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "autoridades de certificação SSH", marque a caixa de seleção Acessar repositório de propriedade do usuário.
Excluir uma autoridade certificada de SSH
A exclusão de uma CA não pode ser desfeita. Se você quiser usar a mesma CA no futuro, precisará fazer upload dela novamente.
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "Autoridades de Certificado SSH", à direita da AC que deseja excluir, clique em Excluir.
-
Leia o aviso e clique em Entendi. Excluir esta AC.
Atualizando uma autoridade de certificação SSH
As ACs carregadas na antes de GitHub Enterprise Server versão empresarial 3.13 permitem o uso de certificados que não expiram. Para saber mais sobre por que agora são exigidas expirações para novas ACs, consulte "Sobre autoridades certificadas de SSH". Você pode atualizar uma AC existente para impedir que ela emita certificados que não expiram. Para garantir o máximo de segurança, é altamente recomendável atualizar todas as suas ACs depois de validar que você não depende de certificados que não expiram.
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "Autoridades de certificação SSH", à direita da AC que deseja atualizar, clique em Atualizar.
-
Leia o aviso e clique em Atualizar.
Depois de atualizar a AC, os certificados que não expiram assinados por ela serão rejeitados.