Aplicando políticas para configurações de segurança na sua empresa

É possível impor políticas para gerenciar as configurações de segurança nas organizações da sua empresa ou permitir que as políticas sejam definidas em cada organização.

Quem pode usar esse recurso?

Enterprise owners can enforce policies for security settings in an enterprise.

Neste artigo

Sobre políticas para configurações de segurança na sua empresa

É possível aplicar políticas para controlar as configurações de segurança das organizações pertencentes à sua empresa em GitHub Enterprise Cloud. Por padrão, os proprietários da organização podem gerenciar as configurações de segurança.

Exigir autenticação de dois fatores para organizações na sua empresa

Note

A partir de março de 2023, o GitHub exigiu que todos os usuários que contribuem com código do GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA). Se você estiver em um grupo qualificado, deve ter recebido um email de notificação quando esse grupo foi selecionado para inscrição, marcando o início de um período de registro de 45 dias para o 2FA. E você deve ter visto banners solicitando seu registro no 2FA no GitHub.com. Se você não recebeu uma notificação, é porque não fazia parte de um grupo de quem é exigido habilitar o 2FA, embora seja altamente recomendável.

Para obter mais informações sobre a distribuição de registro 2FA, confira esta postagem no blog.

Os proprietários da empresa podem exigir que os membros da organização, os gerentes de cobrança e os colaboradores externos em todas as organizações de propriedade de uma empresa usem a autenticação de dois fatores para proteger as respectivas contas de usuário. Essa política não está disponível para empresas com usuários gerenciados.

Antes que possa exigir a autenticação de dois fatores para todas as organizações pertencentes à sua empresa, você deve habilitá-la para sua conta. Para saber mais, confira Proteger sua conta com a autenticação de dois fatores (2FA).

Antes de exigir o uso da autenticação de dois fatores, é recomendável notificar os integrantes da organização, colaboradores externos e gerentes de cobrança e pedir que eles configurem 2FA nas contas deles. Os proprietários da organização podem ver se integrantes e colaboradores externos já utilizam 2FA na página "People" de cada organização. Para saber mais, confira Ver se os usuários da organização habilitaram a 2FA.

Warning

  • Se você exigir a autenticação de dois fatores para sua empresa, colaboradores externos (incluindo contas bot) em todas as organizações pertencentes à sua empresa que não utilizam a 2FA serão removidos da organização e perderão acesso aos repositórios dela. Eles também perderão acesso às bifurcações dos repositórios privados da organização. Você poderá restabelecer as configurações e os privilégios de acesso deles se a 2FA for habilitada na conta deles em até três meses após a remoção da organização. Para saber mais, confira Como reinstaurar um antigo membro da sua organização.
  • Qualquer colaborador externo em qualquer uma das organizações pertencentes à sua empresa que desabilitar a 2FA para a conta dele depois que você tiver habilitado a autenticação de dois fatores obrigatória será removido automaticamente da organização. Membros e gerentes de cobrança que desabilitarem a 2FA não poderão acessar os recursos da organização até que a habilitem novamente.
  • Se você for o único proprietário de uma empresa que exige autenticação de dois fatores, não poderá desabilitar a 2FA para sua conta de usuário sem desabilitar a 2FA obrigatória para a empresa.

Note

Alguns dos usuários em suas organizações podem ter sido selecionados para o registro obrigatório de autenticação de dois fatores pelo GitHub.com, mas isso não tem impacto sobre como você habilita o requisito de 2FA para as organizações na sua empresa. Se você habilitar o requisito da 2FA para organizações em sua empresa, os colaboradores externos sem a 2FA habilitada serão removidos das organizações, incluindo aqueles que precisam habilitá-la por meio do GitHub.com.

  1. No canto superior direito do GitHub, selecione sua foto de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "Two-factor authentication" (Autenticação de dois fatores), revise as informações sobre como alterar a configuração. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em Exibir as configurações atuais das suas organizações.

    Captura de tela de uma política nas configurações da empresa. Um link, rotulado como "Exibir as configurações atuais das suas organizações", está realçado com uma estrutura de tópicos laranja.

  6. Em "Two-factor authentication", selecione equire two-factor authentication for the enterprise and all of its organizations e clique em Save.

  7. Se solicitado, leia as informações sobre como o acesso do usuário aos recursos da organização será afetado por um requisito de 2FA. Para confirmar a alteração, clique em Confirmar.

  8. Como alternativa, se colaboradores externos forem removido das organizações pertencentes à sua empresa, recomendamos enviar um convite para restabelecer os privilégios e o acesso à organização que eles tinham anteriormente. Cada pessoa precisa habilitar a 2FA para poder aceitar o convite.

Exigindo métodos seguros de autenticação de dois fatores para organizações em sua empresa

Além de exigir a autenticação de dois fatores, os proprietários corporativos podem exigir que membros, gerentes de cobrança e colaboradores externos de todas as organizações pertencentes a uma empresa usem métodos seguros de 2FA. Métodos de dois fatores seguros são chaves de passagem, chaves de segurança, aplicativos autenticadores e o aplicativo móvel GitHub. Usuários que não tiverem um método seguro de 2FA configurado ou que tiverem qualquer método inseguro configurado serão impedidos de acessar recursos de quaisquer organizações de propriedade de uma empresa. Essa política não está disponível para empresas com usuários gerenciados.

Antes de exigir métodos seguros para a autenticação de dois fatores, é recomendável notificar os membros, colaboradores externos e gerentes de cobrança da organização e pedir que eles configurem a 2FA segura nas contas deles. Proprietários da organização podem ver se membros e colaboradores externos já utilizam métodos seguros de 2FA na página People de cada organização. Para saber mais, confira Ver se os usuários da organização habilitaram a 2FA.

  1. Em "Two-factor authentication", selecione Require two-factor authentication for the enterprise and all of its organizations e Only allow secure two-factor methods e clique em Save.

  2. Se solicitado, leia as informações sobre como o acesso do usuário aos recursos da organização será afetado pela exigência de métodos de 2FA seguros. Para confirmar a alteração, clique em Confirmar.

  3. Como alternativa, se colaboradores externos forem removido das organizações pertencentes à sua empresa, recomendamos enviar um convite para restabelecer os privilégios e o acesso à organização que eles tinham anteriormente. Cada pessoa precisa habilitar a 2FA com um método seguro para poder aceitar o convite.

Gerenciando as autoridades de certificados de SSH da sua empresa

Você pode usar a autoridades de certificados (CA) SSH para permitir que os membros de qualquer organização pertencente à sua empresa acessem os repositórios da organização usando certificados SSH que você fornecer. Se sua empresa usa Enterprise Managed Users, os membros enterprise também podem ter permissão para usar o certificado para acessar repositórios de propriedade pessoal. Você pode exigir que os integrantes usem certificados SSH para acessar os recursos da organização, a menos que o SSH esteja desabilitado no seu repositório. Para obter mais informações, consulte Sobre autoridades certificadas de SSH.

Ao emitir cada certificado de cliente, você deve incluir uma extensão que especifica para qual usuário do GitHub Enterprise Cloud o certificado serve. Para obter mais informações, confira "Sobre autoridades certificadas de SSH".

Adicionar uma autoridade certificada de SSH

Se você precisar de certificados SSH para sua empresa, os integrantes da empresa deverão usar um URL especial para operações do Git por meio do SSH. Para saber mais, confira Sobre autoridades certificadas de SSH.

Cada autoridade de certificação só pode ser carregada em uma única conta no GitHub Enterprise Cloud. Se uma autoridade de certificação SSH foi adicionada a uma conta da organização ou da empresa, você não pode adicionar a mesma autoridade de certificação a outra conta da organização ou da empresa no GitHub Enterprise Cloud.

Se você adicionar uma autoridade de certificação a uma empresa e outra autoridade de certificação a uma organização na empresa, qualquer autoridade de certificação poderá ser usada para acessar os repositórios da organização.

  1. No canto superior direito do GitHub, selecione sua foto de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. À direita de "Autoridades de Certificação SSH", clique em Nova AC.

  6. Em "Key," cole sua chave pública SSH.

  7. Clique em Adicionar AC.

  8. Opcionalmente, para exigir que os membros usem certificados SSH, selecione Exigir Certificados SSH e clique em Salvar.

    Note

    Quando você exige certificados SSH, os usuários não poderão se autenticar para acessar os repositórios da organização por HTTPS ou com uma chave SSH não assinada

    O requisito de certificados SSH, ele não se aplica a GitHub Apps autorizados (incluindo tokens do usuário para o servidor), chaves de implantação, ou a recursos do GitHub, como GitHub Actions e Codespaces, que são ambientes confiáveis no ecossistema do GitHub.

Gerenciando o acesso a repositórios de propriedade do usuário

Você pode habilitar ou desabilitar o acesso a repositórios de propriedade do usuário com um certificado SSH se sua empresa usar contas de usuário gerenciadas. No entanto, se sua empresa usa contas pessoais em GitHub.com, os membros não podem usar o certificado para acessar repositórios de propriedade pessoal.

  1. No canto superior direito do GitHub, selecione sua foto de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "autoridades de certificação SSH", marque a caixa de seleção Acessar repositório de propriedade do usuário.

Excluir uma autoridade certificada de SSH

A exclusão de uma CA não pode ser desfeita. Se você quiser usar a mesma CA no futuro, precisará fazer upload dela novamente.

  1. No canto superior direito do GitHub, selecione sua foto de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "Autoridades de Certificado SSH", à direita da AC que deseja excluir, clique em Excluir.

  6. Leia o aviso e clique em Entendi. Excluir esta AC.

Atualizando uma autoridade de certificação SSH

As ACs carregadas na antes de 27 de março de 2024, permitem o uso de certificados que não expiram. Para saber mais sobre por que agora são exigidas expirações para novas ACs, consulte Sobre autoridades certificadas de SSH. Você pode atualizar uma AC existente para impedir que ela emita certificados que não expiram. Para garantir o máximo de segurança, é altamente recomendável atualizar todas as suas ACs depois de validar que você não depende de certificados que não expiram.

  1. No canto superior direito do GitHub, selecione sua foto de perfil.

  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

  3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "Autoridades de certificação SSH", à direita da AC que deseja atualizar, clique em Atualizar.

  6. Leia o aviso e clique em Atualizar.

Depois de atualizar a AC, os certificados que não expiram assinados por ela serão rejeitados.

Como gerenciar o SSO para usuários não autenticados

Note

O redirecionamento automático de usuários para entrar está em versão prévia pública para Enterprise Managed Users e está sujeito a alterações.

Se a sua empresa usa Enterprise Managed Users, você pode escolher o que os usuários não autenticados veem ao tentar acessar os recursos da sua empresa. Para mais informações sobre Enterprise Managed Users, confira Sobre os Enterprise Managed Users.

Por padrão, para ocultar a existência de recursos privados, quando um usuário não autenticado tenta acessar sua empresa, o GitHub exibe um erro 404.

Para evitar confundir os desenvolvedores, você pode alterar esse comportamento para que os usuários sejam redirecionados automaticamente para o SSO (logon único) por meio do IdP (provedor de identidade). Quando você habilita redirecionamentos automáticos, qualquer pessoa que visita a URL de qualquer um dos recursos da sua empresa pode ver que tais recursos existem. No entanto, eles só poderão ver o recurso se tiverem as devidas permissões de acesso após a autenticação no seu IdP.

Note

Se um usuário estiver conectado na conta pessoal dele ao tentar acessar um dos recursos da sua empresa, ele será automaticamente desconectado e redirecionado para o SSO para entrar no respectivo conta de usuário gerenciada. Para saber mais, confira Como gerenciar várias contas.

  1. No canto superior direito do GitHub, selecione sua foto de perfil e depois Sua empresa.
  2. No lado esquerdo da página, na barra lateral da conta corporativa, clique em Identity provider.
  3. Em Identity Provider, clique em Single sign-on configuration.
  4. Em "Configurações de logon único", marque ou desmarque Redirecionar automaticamente os usuários para entrar.

Leitura adicional