Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Aplicar configurações de segurança na conta corporativa

Os proprietários corporativos podem aplicar determinadas políticas de segurança para todas as organizações pertencentes a uma conta corporativa.

As contas corporativas estão disponíveis com GitHub Enterprise Cloud e GitHub Enterprise Server. Para obter mais informações, consulte "Sobre contas corporativas".

Neste artigo

Exigir autenticação de dois fatores para organizações na conta corporativa

Os proprietários corporativos podem exigir que integrantes da organização, gerentes de cobrança e colaboradores externos em todas as organizações pertencentes a uma conta corporativa usem autenticação de dois fatores para proteger suas contas pessoais.

Antes de exigir 2FA para todas as organizações pertencentes à conta corporativa, você deve habilitar a autenticação de dois fatores para sua própria conta. Para obter mais informações, consulte "Proteger sua conta com autenticação de dois fatores (2FA)".

Avisos:

  • Se você exigir autenticação de dois fatores para a conta corporativa, os integrantes, colaboradores externos e gerentes de cobrança (incluindo contas bot) em todas as organizações pertencentes à conta corporativa que não utilizem 2FA serão removidos da organização e perderão acesso aos repositórios dela. Eles também perderão acesso às bifurcações dos repositórios privados da organização. Se a autenticação de dois fatores for habilitada para a conta pessoal deles em até três meses após a remoção da organização, será possível restabelecer as configurações e os privilégios de acesso deles. Para obter mais informações, consulte "Restabelecer ex-integrantes da organização".
  • Qualquer proprietário da organização, integrante, gerente de cobrança ou colaborador externo em qualquer das organizações pertencentes à conta corporativa que desabilite 2FA para a conta pessoal dele depois que você tiver habilitado a autenticação de dois fatores obrigatória será removido automaticamente da organização.
  • Se você for o único proprietário de uma conta corporativa que exige autenticação de dois fatores, não poderá desabilitar 2FA para sua conta pessoal sem desabilitar a autenticação de dois fatores obrigatória para a conta corporativa.

Antes de exigir o uso da autenticação de dois fatores, é recomendável notificar os integrantes da organização, colaboradores externos e gerentes de cobrança e pedir que eles configurem 2FA nas contas deles. Os proprietários da organização podem ver se integrantes e colaboradores externos já utilizam 2FA na página People (Pessoas) de cada organização. Para obter mais informações, consulte "Ver se os usuários na organização têm a 2FA habilitada".

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Em "Two-factor authentication" (Autenticação de dois fatores), revise as informações sobre como alterar a configuração. Optionally, to view the setting's current configuration for all organizations in the enterprise account before enforcing the setting, click View your organizations' current configurations.
    Link to view the current policy configuration for organizations in the business
  5. Em "Two-factor authentication" (Autenticação de dois fatores), selecione Require two-factor authentication for all organizations in your business (Exigir autenticação de dois fatores para todas as organizações na empresa) e clique em Save (Salvar).
    Caixa de seleção para exigir autenticação de dois fatores
  6. Se solicitado, leia as informações sobre os integrantes e colaboradores externos que serão removidos das organizações pertencentes à conta corporativa. Para confirmar a alteração, digite o nome da conta corporativa e clique em Remove members & require two-factor authentication (Remover integrantes e exigir autenticação de dois fatores).
    Caixa Confirm two-factor enforcement (Confirmar exigência de dois fatores)
  7. Como alternativa, se algum integrante ou colaborador externo for removido das organizações pertencentes à conta corporativa, recomendamos enviar um convite para restabelecer os privilégios e o acesso à organização que ele tinha anteriormente. Cada pessoa precisa habilitar a autenticação de dois fatores para poder aceitar o convite.

Gerenciar endereços IP permitidos para organizações na conta corporativa

Enterprise owners can restrict access to assets owned by organizations in an enterprise account by configuring an allow list for specific IP addresses. For example, you can allow access from only the IP address of your office network. The allow list for IP addresses will block access via the web, API, and Git from any IP addresses that are not on the allow list.

You can approve access for a single IP address, or a range of addresses, using CIDR notation. For more information, see "CIDR notation" on Wikipedia.

To enforce the IP allow list, you must first add IP addresses to the list, then enable the IP allow list. É preciso adicionar o endereço IP atual ou um intervalo correspondente antes de habilitar a lista de permissões de IP.

You can also configure allowed IP addresses for an individual organization. For more information, see "Managing allowed IP addresses for your organization."

Adicionar endereços IP permitidos

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Under "IP Address", type an IP address, or range of addresses, in CIDR notation.
    Campo-chave para adicionar endereço IP
  5. Under "Description", type a description of the allowed IP address or range.
    Campo-chave para adicionar nome de endereço IP
  6. Clique em Add (Adicionar).
    Botão para adicionar endereço IP permitido

Habilitar endereços IP permitidos

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Em "IP allow list" (Lista de permissões IP), selecione Enable IP allow list (Habilitar lista de permissões IP).
    Caixa de seleção para permitir endereços IP
  5. Clique em Save (Salvar).

Editar endereços IP permitidos

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Under "IP allow list", to the right of the entry you want to edit, click Edit.
    Botão para editar endereço IP permitido
  5. Type an IP address, or range of addresses, in CIDR notation.
    Campo-chave para adicionar endereço IP
  6. Type a description of the allowed IP address or range.
    Campo-chave para adicionar nome de endereço IP
  7. Clique em Update (Atualizar).

Excluir endereços IP permitidos

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Under "IP allow list", to the right of the entry you want to delete, click Delete.
    Botão para excluir endereço IP permitido
  5. To permanently delete the entry, click Yes, delete this IP allow list entry.
    Botão para excluir permanentemente a entrada da lista de permissões de IP

Using GitHub Actions with an IP allow list

Warning: If you use an IP allow list and would also like to use GitHub Actions, you must use self-hosted runners. For more information, see "Hosting your own runners."

To allow your self-hosted runners to communicate with GitHub, add the IP address or IP address range of your self-hosted runners to the IP allow list. For more information, see "Adding an allowed IP address."

Habilitar logon único de SAML para organizações na conta corporativa

SAML SSO gives organization owners and enterprise owners on GitHub a way to control and secure access to organization resources like repositories, issues, and pull requests. For more information, see "About identity and access management with SAML single sign-on."

Enterprise owners can enable SAML SSO and centralized authentication through a SAML IdP across all organizations owned by an enterprise account. Depois que você habilita o SAML SSO para a conta corporativa, ele é habilitado por padrão para todas as organizações pertencentes a ela. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.

To access each organization's resources on GitHub, the member must have an active SAML session in their browser. To access each organization's protected resources using the API and Git, the member must use a personal access token or SSH key that the member has authorized for use with the organization. Enterprise owners can view and revoke a member's linked identity, active sessions, or authorized credentials at any time. For more information, see "Viewing and managing a user's SAML access to your enterprise account."

We offer limited support for all identity providers that implement the SAML 2.0 standard. We officially support these identity providers that have been internally tested:

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Observação: se você habilitar a autenticação com logon único SAML para a conta corporativa, as configurações SAML existentes no nível da organização serão substituídas.

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Optionally, to view the setting's current configuration for all organizations in the enterprise account before enforcing the setting, click View your organizations' current configurations.
    Link to view the current policy configuration for organizations in the business
  5. Em "SAML single sign-on" (Logon único de SAML), selecione Enable SAML authentication (Habilitar autenticação SAML).
    Caixa de seleção para habilitar SAML SSO
  6. No campo Sign on URL (URL de logon), digite o ponto de extremidade HTTPS do seu IdP para solicitações de logon único. Esse valor está disponível na configuração do IdP.
    Campo referente ao URL para o qual os integrantes serão encaminhados ao entrarem
  7. Como alternativa, no campo Issuer (Emissor), digite o nome do emissor de SAML. Isso confirma a autenticidade das mensagens enviadas.
    Campo referente ao nome do emissor de SAML
  8. Em Public Certificate (Certificado público), cole um certificado para verificar as respostas de SAML.
    Campo referente ao certificado público do seu provedor de identidade
  9. Para verificar a integridade das solicitações do emissor de SAML, clique em . Em seguida, nos menus suspensos Signature Method (Método de assinatura) e Digest Method (Método de compilação), escolha o algoritmo de hash usado pelo emissor de SAML.
    Menus suspensos Signature Method (Método de assinatura) e Digest Method (Método de compilação) para os algoritmos de hash usados pelo emissor de SAML
  10. Antes de habilitar o SAML SSO para sua empresa, clique em Test SAML configuration (Testar configuração de SAML) para garantir que as informações que você digitou estão corretas.
    Botão para testar a configuração de SAML antes da aplicação
  11. Clique em Save (Salvar).

Managing team synchronization for organizations in your enterprise account

Enterprise owners can enable team synchronization between an IdP and GitHub to allow organization owners and team maintainers to connect teams in the organizations owned by your enterprise account with IdP groups.

When you synchronize a GitHub team with an IdP group, changes to the IdP group are reflected on GitHub automatically, reducing the need for manual updates and custom scripts. You can use an IdP with team synchronization to manage administrative tasks such as onboarding new members, granting new permissions for movements within an organization, and removing member access to the organization.

You can use team synchronization with your enterprise account with Azure AD.

After you enable team synchronization, team maintainers and organization owners can connect a team to an IdP group on GitHub or through the API. For more information, see "Synchronizing a team with an identity provider group" and "Team synchronization."

Warning: When you disable team synchronization, any team members that were assigned to a GitHub team through the IdP group are removed from the team and may lose access to repositories.

You can also configure and manage team synchronization for an individual organization. For more information, see "Managing team synchronization for your organization."

Pré-requisitos

Before you can enable team synchronization for your enterprise account:

Managing team synchronization for Azure AD

To enable team synchronization for Azure AD, your Azure AD installation needs the following permissions:

  • Ler os perfis completos de todos os usuários
  • Entrar e ler o perfil do usuário
  • Ler dados do diretório
  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Confirme que o SAML SSO está habilitado. For more information, see "Gerenciar logon único de SAML para sua organização".
  5. Under "Team synchronization", click Enable for Azure AD.
    Botão Enable team synchronization (Habilitar sincronização de equipes) na página de configurações de segurança
  6. Para confirmar a sincronização de equipes:
    • Se você tiver acesso ao IdP, clique em Enable team synchronization (Habilitar sincronização de equipes). Você será redirecionado para a página do SAML SSO do provedor de identidade e precisará selecionar sua conta e revisar as permissões solicitadas.
    • Se você não tiver acesso ao IdP, copie o link de redirecionamento do IdP e compartilhe-o com o administrador do IdP para continuar habilitando a sincronização de equipes.
      Botão de redirecionamento Enable team synchronization (Habilitar sincronização de equipes)
  7. Review the identity provider tenant information you want to connect to your enterprise account, then click Approve.
    Solicitação pendente para habilitar a sincronização de equipes para um determinado encarregado do IdP com opção de aprovar ou cancelar a solicitação
  8. To disable team synchronization, click Disable team synchronization.
    Desabilitar a sincronização de equipes

Gerenciar autoridades certificadas de SSH da conta corporativa

Os proprietários corporativos podem adicionar e excluir autoridades certificadas (CAs) de SSH de uma conta corporativa.

Adicionando uma CA de SSH à sua conta corporativa, você pode permitir que integrantes de qualquer organização pertencente à conta corporativa acessem repositórios da organização usando certificados de SSH fornecidos por você. You can require that members use SSH certificates to access organization resources,. Para obter mais informações, consulte "Sobre autoridades certificadas de SSH".

Adicionar uma autoridade certificada de SSH

When you issue each client certificate, you must include an extension that specifies which GitHub user the certificate is for. Para obter mais informações, consulte "Sobre autoridades certificadas SSH".

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. To the right of "SSH Certificate Authorities", click New CA.
    New CA button
  5. Under "Key," paste your public SSH key.
    Key field to add CA
  6. Click Add CA.
  7. Optionally, to require members to use SSH certificates, select Require SSH Certificates, then click Save.
    Require SSH Certificate checkbox and save button

Excluir uma autoridade certificada de SSH

A exclusão de uma CA não pode ser desfeita. Se você quiser usar a mesma CA no futuro, precisará fazer upload dela novamente.

  1. Navigate to your enterprise account by visiting https://github.com/enterprises/ENTERPRISE-NAME, replacing ENTERPRISE-NAME with your enterprise account's name.
  2. In the enterprise account sidebar, click Settings.
    Settings tab in the enterprise account sidebar
  3. In the left sidebar, click Security.
    Security tab in the enterprise account settings sidebar
  4. Under "SSH Certificate Authorities", to the right of the CA you want to delete, click Delete.
    Delete button
  5. Read the warning, then click I understand, please delete this CA.
    Delete confirmation button

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato