Aplicar configurações de segurança na conta corporativa

Os proprietários corporativos podem aplicar determinadas políticas de segurança para todas as organizações pertencentes a uma conta corporativa.

As contas empresariais estão disponíveis com GitHub Enterprise Cloud e GitHub Enterprise Server. Para obter mais informações, consulte "Sobre contas corporativas."

Neste artigo

Exigir autenticação de dois fatores para organizações na conta corporativa

Os proprietários corporativos podem exigir que integrantes da organização, gerentes de cobrança e colaboradores externos em todas as organizações pertencentes a uma conta corporativa usem autenticação de dois fatores para proteger suas contas pessoais.

Antes de exigir 2FA para todas as organizações pertencentes à conta corporativa, você deve habilitar a autenticação de dois fatores para sua própria conta. Para obter mais informações, consulte "Proteger sua conta com autenticação de dois fatores (2FA)".

Avisos:

  • Se você exigir autenticação de dois fatores para a conta corporativa, os integrantes, colaboradores externos e gerentes de cobrança (incluindo contas bot) em todas as organizações pertencentes à conta corporativa que não utilizem 2FA serão removidos da organização e perderão acesso aos repositórios dela. Eles também perderão acesso às bifurcações dos repositórios privados da organização. Se a autenticação de dois fatores for habilitada para a conta pessoal deles em até três meses após a remoção da organização, será possível restabelecer as configurações e os privilégios de acesso deles. Para obter mais informações, consulte "Restabelecer ex-integrantes da organização".
  • Qualquer proprietário da organização, integrante, gerente de cobrança ou colaborador externo em qualquer das organizações pertencentes à conta corporativa que desabilite 2FA para a conta pessoal dele depois que você tiver habilitado a autenticação de dois fatores obrigatória será removido automaticamente da organização.
  • Se você for o único proprietário de uma conta corporativa que exige autenticação de dois fatores, não poderá desabilitar 2FA para sua conta pessoal sem desabilitar a autenticação de dois fatores obrigatória para a conta corporativa.

Antes de exigir o uso da autenticação de dois fatores, é recomendável notificar os integrantes da organização, colaboradores externos e gerentes de cobrança e pedir que eles configurem 2FA nas contas deles. Os proprietários da organização podem ver se integrantes e colaboradores externos já utilizam 2FA na página People (Pessoas) de cada organização. Para obter mais informações, consulte "Ver se os usuários na organização têm a 2FA habilitada".

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. Em "Two-factor authentication" (Autenticação de dois fatores), revise as informações sobre como alterar a configuração. Opcionalmente, para ver a configuração atual para todas as organizações da conta corporativa antes de aplicar a configuração, clique em View your organizations' current configurations (Ver as configurações atuais da organização). Link para visualizar a configuração de política atual para as organizações do negócio

  6. Em "Two-factor authentication" (Autenticação de dois fatores), selecione Require two-factor authentication for all organizations in your business (Exigir autenticação de dois fatores para todas as organizações na empresa) e clique em Save (Salvar). Caixa de seleção para exigir autenticação de dois fatores

  7. Se solicitado, leia as informações sobre os integrantes e colaboradores externos que serão removidos das organizações pertencentes à conta corporativa. Para confirmar a alteração, digite o nome da conta corporativa e clique em Remove members & require two-factor authentication (Remover integrantes e exigir autenticação de dois fatores). Caixa Confirm two-factor enforcement (Confirmar exigência de dois fatores)

  8. Como alternativa, se algum integrante ou colaborador externo for removido das organizações pertencentes à conta corporativa, recomendamos enviar um convite para restabelecer os privilégios e o acesso à organização que ele tinha anteriormente. Cada pessoa precisa habilitar a autenticação de dois fatores para poder aceitar o convite.

Gerenciar endereços IP permitidos para organizações na conta corporativa

Os proprietários de empresas podem restringir o acesso a ativos pertencentes a organizações na conta corporativa, configurando uma lista de permissão de endereços IP específicos. Por exemplo, você pode permitir o acesso somente a partir do endereço IP da rede do escritório. A lista de permissão para endereços IP irá bloquear o acesso através da web, API, e Git de qualquer endereço IP que não esteja na lista de permissões.

Você pode aprovar o acesso para um único endereço IP ou uma série de endereços usando a notação CIDR. Para obter mais informações, consulte "CIDR notation" na Wikipedia.

Para fazer cumprir a lista de permissões de IP, você deve primeiro adicionar endereços IP à lista, e então habilitar a lista de permissões de IP. É preciso adicionar o endereço IP atual ou um intervalo correspondente antes de habilitar a lista de permissões de IP. When you enable the allow list, the IP addresses you have configured are immediately added to the allow lists of organizations in your enterprise. If you disable the allow list, the addresses are removed from the organization allow lists.

You can choose to automatically add to your allow list any IP addresses configured for Aplicativos do GitHub installed in your enterprise. The creator of a aplicativo GitHub can configure an allow list for their application, specifying the IP addresses at which the application runs. By inheriting their allow list into yours, you avoid connection requests from the application being refused. For more information, see "Allowing access by GitHub Apps."

Você também pode configurar endereços IP permitidos para uma organização individual. Para obter mais informações, consulte "Gerenciar endereços IP permitidos para a sua organização".

Adicionar endereços IP permitidos

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. At the bottom of the "IP allow list" section, enter an IP address, or a range of addresses in CIDR notation. Campo-chave para adicionar endereço IP

  6. Optionally, enter a description of the allowed IP address or range. Campo-chave para adicionar nome de endereço IP

  7. Clique em Add (Adicionar). Botão para adicionar endereço IP permitido

Allowing access by Aplicativos do GitHub

If you're using an allow list, you can also choose to automatically add to your allow list any IP addresses configured for Aplicativos do GitHub that are installed in your enterprise.

If you select Enable IP allow list configuration for installed GitHub Apps in your allow list settings, then IP addresses from installed Aplicativos do GitHub are added to your allow list. This happens irrespective of whether your allow list is currently enabled. If you install a aplicativo GitHub and then the creator of that application changes the addresses in its allow list, your allow list is automatically updated with those changes.

You can identify the IP addresses that have been automatically added from Aplicativos do GitHub by reviewing the description field. The description for these IP addresses is: "Managed by the NAME GitHub App." Unlike addresses you add manually, you cannot edit, delete, or disable IP addresses that are automatically added from Aplicativos do GitHub.

Note: The addresses in the IP allow list of a aplicativo GitHub only affect requests made by installations of the aplicativo GitHub. The automatic addition of a aplicativo GitHub's IP address to an organization's allow list does not allow access to a GitHub user who connects from that IP address.

For more information about how to create an allow list for a aplicativo GitHub you have created, see "Managing allowed IP addresses for a GitHub App."

To enable automatic addition of IP addresses for Aplicativos do GitHub:

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. Under "IP allow list", select Enable IP allow list configuration for installed GitHub Apps. Checkbox to allow GitHub App IP addresses

  6. Clique em Salvar.

Habilitar endereços IP permitidos

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. Em "IP allow list" (Lista de permissões IP), selecione Enable IP allow list (Habilitar lista de permissões IP). Caixa de seleção para permitir endereços IP

  6. Clique em Salvar.

Editar endereços IP permitidos

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. Em "IP allow list", à direita da entrada que deseja editar, clique em Edit. Botão para editar endereço IP permitido

  6. Digite um endereço IP ou um intervalo de endereços, na notação CIDR. Campo-chave para adicionar endereço IP

  7. Digite uma descrição do endereço IP permitido ou intervalo. Campo-chave para adicionar nome de endereço IP

  8. Clique em Atualizar.

Excluir endereços IP permitidos

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. Em "IP allow list" (lista de permissão), à direita da entrada que deseja excluir, clique em Delete. Botão para excluir endereço IP permitido

  6. Para excluir permanentemente a entrada, clique em Yes, delete this IP allow list entry (Sim, excluir este IP permitir a entrada da lista). Botão para excluir permanentemente a entrada da lista de permissões de IP

Usar GitHub Actions com uma lista endereços IP permitidos

Aviso: Se você usar uma lista de permitir IP e também gostaria de usar GitHub Actions, você deve usar executores auto-hospedados. Para obter mais informações, consulte "Hosting your own runners."

To allow your self-hosted runners to communicate with

GitHub, add the IP address or IP address range of your self-hosted runners to the IP allow list. Para obter mais informações, consulte "Adding an allowed IP address."

Gerenciar autoridades certificadas de SSH da conta corporativa

Os proprietários corporativos podem adicionar e excluir autoridades certificadas (CAs) de SSH de uma conta corporativa.

Adicionando uma CA de SSH à sua conta corporativa, você pode permitir que integrantes de qualquer organização pertencente à conta corporativa acessem repositórios da organização usando certificados de SSH fornecidos por você. Você pode exigir que os integrantes usem certificados SSH para acessar os recursos da organização, a menos que o SSH esteja desabilitado no seu repositório. Para obter mais informações, consulte "Sobre autoridades certificadas de SSH".

Adicionar uma autoridade certificada de SSH

Ao emitir cada certificado de cliente, você deve incluir uma extensão que especifica para qual usuário do GitHub o certificado serve. Para obter mais informações, consulte "Sobre autoridades certificadas SSH".

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. À direita de "SSH Certificate Authorities" (Autoridades de Certificados SSH), clique em New CA (Nova CA). Novo botão CA

  6. Em "Key," cole sua chave pública SSH. Campo-chave para adicionar CA

  7. Clique Add CA (Adicionar CA).

  8. Opcionalmente, para exigir que membros utilizem certificados SSH, selecione Require SSH Certificates (Exigir certificados SSH), depois clique em Save (Salvar). Solicite caixa de seleção do Certificado SSH e s o botã0 salvzr

Excluir uma autoridade certificada de SSH

A exclusão de uma CA não pode ser desfeita. Se você quiser usar a mesma CA no futuro, precisará fazer upload dela novamente.

  1. No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  4. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  5. Em "SSH Certificate Authorities", à direita da CA que você deseja excluir, clique em Delete (Excluir). Botão excluir

  6. Leia o alerta e clique em I understand, please delete this CA (Eu entendo, exclua este CA). Botão Delete confirmation (Excluir Confirmação)

Leia mais

Esse documento ajudou você?Política de Privacidade

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.