Сведения об ограничениях сетевого трафика
По умолчанию авторизованные пользователи могут получить доступ к ресурсам предприятия с любого IP-адреса. Вы можете ограничить доступ к частным ресурсам предприятия, настроив список, который разрешает или запрещает доступ с определенных IP-адресов. Например, вы можете разрешить доступ к частным ресурсам исключительно из IP-адреса вашей сети office.
Если список разрешает IP-адрес, прошедший проверку подлинности пользователь, подключающийся к GitHub.com из этого адреса, может получить доступ к частным ресурсам. Если IP-адрес пользователя не разрешен, этот пользователь не может получить доступ к частным ресурсам, пока он не будет подключаться с разрешенного адреса.
После настройки списка разрешений IP-адреса список определяет, могут ли пользователи получать доступ к защищенным ресурсам с помощью веб-интерфейса, API или Git, используя любой из следующих методов проверки подлинности.
- Имя пользователя и пароль, используя проверку подлинности GitHub или единый вход SAML
- Personal access token
- Ключ SSH
Список разрешений IP-адресов применяется к пользователям с любой ролью или доступом, включая корпоративные и владелец организации, администраторы репозитория и внешние сотрудники.
Если пользователь вошел в GitHub.com, список разрешений IP-адресов определяет, может ли пользователь получить доступ к общедоступным ресурсам организации. Список не применяется к анонимному доступу к общедоступным ресурсам.
Доступ только к репозиториям, принадлежащим организации, определяется списком разрешений IP. Список не контролирует доступ к репозиториям или вилкам репозиториев, принадлежащих управляемая учетная запись пользователя.
Если ваше предприятие использует Enterprise Managed Users с идентификатором Microsoft Entra (ранее известным как Azure AD) и OIDC, можно выбрать, следует ли использовать функцию списка разрешений ip-адресов GitHubили использовать ограничения списка разрешений для поставщика удостоверений (IdP). Если ваша организация не использует Enterprise Managed Users с Azure и OIDC, можно использовать функцию списка разрешений GitHub.
О списке разрешений IP-адресов %% данных variables.product.company_short %}
Вы можете использовать список разрешений ip-адресов GitHub, чтобы управлять доступом к корпоративным и ресурсам, принадлежащим организациям в вашей организации.
Можно утвердить доступ для одного IP-адреса или диапазона адресов с использованием нотации CIDR. Дополнительные сведения см. в статье Википедии, посвященной нотации CIDR.
Чтобы применить список разрешенных IP-адресов, необходимо добавить IP-адреса в этот список, а затем включить его. После завершения списка можно проверка, разрешен ли определенный IP-адрес любым из включенных записей в списке.
Прежде чем включать список разрешенных IP-адресов, необходимо добавить в него текущий IP-адрес или соответствующий диапазон. При включении списка разрешений настроенные IP-адреса сразу добавляются в списки разрешений организаций в пределах вашего предприятия. Если отключить список разрешений, адреса будут удалены из списков разрешений организации.
Владельцы организации могут добавлять дополнительные записи в список разрешений для своих организаций, но они не могут управлять записями, унаследованными от списка разрешений корпоративной учетной записи, и владельцы предприятия не могут управлять записями, добавленными в список разрешений организации. Дополнительные сведения см. в разделе "Управление разрешенными IP-адресами для организации".
Вы можете автоматически добавить в список разрешений любые IP-адреса, настроенные для GitHub Apps, установленных на предприятии. Создатель GitHub App настроил список разрешений для приложения, указывающий IP-адреса, с использованием которых выполняется приложение. Наследуя их список разрешений в вашей среде, вы избегаете отправки запросов на подключение от отклоняемого приложения. Дополнительные сведения см. в разделе Разрешение доступа к приложениям GitHub.
Сведения о списке разрешений поставщика удостоверений
Если вы используете Enterprise Managed Users с идентификатором записи и OIDC, можно использовать список разрешений поставщика удостоверений.
Использование списка разрешений поставщика удостоверений деактивирует конфигурации списков разрешений GitHub для всех организаций в вашей организации и деактивирует API GraphQL для включения списков разрешений IP-адресов и управления ими.
По умолчанию поставщик удостоверений запускает CAP на начальном интерактивном входе SAML или OIDC в GitHub для любой выбранной конфигурации списка разрешенных IP-адресов.
OIDC CAP применяется только для запросов к API с помощью маркера пользователя, например маркерА OAuth для OAuth app или маркера доступа пользователя для GitHub App от имени пользователя. Cap OIDC не применяется, если GitHub App использует маркер доступа к установке. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Сведения о проверке подлинности с помощью приложения GitHub](/enterprise-cloud@latest/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/about-support-for-your-idps-conditional-access-policy#github-apps-and-oauth-apps)".
Чтобы обеспечить простое использование OIDC CAP при применении политики к маркерам OAuth и маркерам доступа пользователей, необходимо скопировать все диапазоны IP-адресов из каждого GitHub App, которые ваше предприятие использует для политики поставщика удостоверений.
Использование списка разрешений IP-адресов %% данных variables.product.company_short %}
Включение списка разрешенных IP-адресов GitHub
-
В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.
-
Рядом с организацией щелкните Параметры.
-
В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.
-
Если вы используете Enterprise Managed Users с OIDC, в разделе "Список разрешений IP", выберите раскрывающееся меню конфигурации списка разрешений IP и щелкните GitHub.
-
В разделе "Список разрешенных IP-адресов" выберите Включить список разрешенных IP-адресов.
-
Нажмите кнопку Сохранить.
Добавление разрешенного IP-адреса
Вы можете создать список разрешений IP-адресов, добавив записи, которые содержат IP-адрес или диапазон адресов. После завершения добавления записей можно проверка, разрешен ли определенный IP-адрес любым из включенных записей в списке.
Прежде чем список ограничивает доступ к частным ресурсам, принадлежащим организациям в вашей организации, необходимо также включить разрешенные IP-адреса.
Примечание. Из-за кэширования, добавления или удаления IP-адресов может потребоваться несколько минут, чтобы полностью ввести в силу.
-
В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.
-
В списке предприятий щелкните предприятие, которое требуется просмотреть.
-
На боковой панели учетной записи предприятия щелкните Параметры.
-
В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".
-
В нижней части раздела "Список разрешенных IP-адресов" в поле "IP-адрес или диапазон в нотации CIDR" введите IP-адрес или диапазон адресов в нотации CIDR.
-
При необходимости в поле "Краткое описание IP-адреса или диапазона" введите описание разрешенного IP-адреса или диапазона.
-
Щелкните Add.
-
При необходимости проверьте, разрешен ли определенный IP-адрес любой из включенных записей в списке. Дополнительные сведения см. в разделе Проверка разрешения IP-адреса.
Разрешение доступа GitHub Apps
Если вы используете список разрешений, вы также можете автоматически добавить в список разрешений любые IP-адреса, настроенные для GitHub Apps, которые установлены на предприятии.
Если выбрать параметр Включить конфигурацию списка разрешенных IP-адресов для установленных приложений GitHub в параметрах списка разрешенных IP-адресов, в этот список будут добавлены адреса из установленных GitHub Apps. Это произойдет независимо от того, включен ли в этот момент список разрешений. Если вы установите GitHub App и после этого создатель приложения изменит его список разрешенных адресов, ваш список автоматически обновится соответствующим образом.
IP-адреса, которые были автоматически добавлены из GitHub Apps, можно определить, просмотрев их поле описания. Для таких IP-адресов в поле описания содержится следующая информация: "Управляется приложением GitHub ИМЯ". В отличие от добавляемых вручную адресов, изменять, удалять или отключать IP-адреса, которые добавляются автоматически из GitHub Apps, нельзя.
Примечание: Адреса в списке разрешенных IP-адресов GitHub App влияют только на запросы установок GitHub App. Автоматическое добавление IP-адреса % data variables.product.prodname_github_app %} в список разрешений организации не разрешает доступ к пользователю GitHub Enterprise Cloud, который подключается с этого IP-адреса.
Дополнительные сведения о создании списка разрешений для созданного объекта GitHub App см. в разделе "Управление разрешенными IP-адресами для приложения GitHub".
Чтобы включить автоматическое добавление IP-адресов для GitHub Apps:
-
В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.
-
В списке предприятий щелкните предприятие, которое требуется просмотреть.
-
На боковой панели учетной записи предприятия щелкните Параметры.
-
В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".
-
В разделе "Список разрешенных IP-адресов" выберите Включить конфигурацию списка разрешенных IP-адресов для установленных приложений GitHub.
Примечание. Если вы используете Enterprise Managed Users с OIDC, вы можете разрешить доступ только приложениям GitHub, если вы используете GitHub для конфигурации списка разрешенных IP-адресов.
-
Щелкните Сохранить.
Изменение разрешенного IP-адреса
Вы можете изменить запись в списке разрешенных IP-адресов. При изменении включенной записи изменения применяются немедленно.
После завершения редактирования записей можно проверка, будет ли список разрешений разрешать подключение с определенного IP-адреса после включения списка.
-
В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.
-
В списке предприятий щелкните предприятие, которое требуется просмотреть.
-
На боковой панели учетной записи предприятия щелкните Параметры.
-
В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".
-
В разделе "Список разрешений IP-адресов" рядом с записью, которую вы хотите изменить, нажмите кнопку "Изменить".
-
В поле "IP-адрес" введите IP-адрес или диапазон адресов в нотации CIDR.
-
В поле "Описание" введите описание разрешенного IP-адреса или диапазона.
-
Нажмите Обновить.
-
При необходимости проверьте, разрешен ли определенный IP-адрес любой из включенных записей в списке. Дополнительные сведения см. в разделе Проверка разрешения IP-адреса.
Проверка допустимости IP-адреса
Вы можете проверить, будет ли тот или иной IP-адрес разрешен какой-либо активной записью из списка разрешенных IP-адресов, даже если этот список сейчас не используется.
-
В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.
-
В списке предприятий щелкните предприятие, которое требуется просмотреть.
-
На боковой панели учетной записи предприятия щелкните Параметры.
-
В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".
Удаление разрешенного IP-адреса
Примечание. Из-за кэширования, добавления или удаления IP-адресов может потребоваться несколько минут, чтобы полностью ввести в силу.
-
В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.
-
В списке предприятий щелкните предприятие, которое требуется просмотреть.
-
На боковой панели учетной записи предприятия щелкните Параметры.
-
В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".
-
В разделе "Список разрешений IP-адресов" рядом с записью, которую вы хотите удалить, нажмите кнопку "Удалить".
-
Чтобы окончательно удалить запись, щелкните Да, удалить эту запись списка разрешенных IP-адресов.
Использование списка разрешений поставщика удостоверений
Примечание. Использование списка разрешений поставщика удостоверений поддерживается только для Enterprise Managed Users с идентификатором записи и OIDC.
-
В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.
-
Рядом с организацией щелкните Параметры.
-
В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.
-
В разделе "Список разрешений IP-адресов" выберите раскрывающееся меню конфигурации списка разрешенных IP-адресов и щелкните "Поставщик удостоверений".
-
При необходимости, чтобы разрешить установленные GitHub и OAuth apps для доступа к вашей организации из любого IP-адреса, выберите "Пропустить проверка поставщика удостоверений" для приложений.
-
Нажмите кнопку Сохранить.
Использование GitHub Actions со списком разрешенных IP-адресов
Предупреждение. Если вы используете список разрешенных IP-адресов, а также хотите использовать GitHub Actions, необходимо использовать автономные модули выполнения или GitHubразмещенных больших модулей runners с диапазонами статических IP-адресов. Дополнительные сведения см. в разделе "[AUTOTITLE" илиО более крупных бегунах](/actions/hosting-your-own-runners/managing-self-hosted-runners/about-self-hosted-runners).
Чтобы разрешить локальным запускам или более крупным размещенным runners для обмена данными GitHub, добавьте IP-адрес или диапазон IP-адресов в список разрешений IP-адресов, настроенный для вашей организации.
Использование GitHub Pages с списком разрешений IP-адресов
Если вы используете настраиваемый рабочий процесс GitHub Actions в качестве источника публикации для сайта GitHub Pages для подключения и сборки сайта, необходимо настроить правило для списка разрешений IP-адресов.
Если вы не используете пользовательский рабочий процесс, средство выполнения сборки будет иметь доступ к репозиторию для сайта GitHub Pages по умолчанию. Дополнительные сведения о источниках публикации см. в статье "Настройка источника публикации для сайта GitHub Pages".