Сведения о проверке подлинности для вашей организации
Владельцы организации в GitHub Enterprise Cloud могут управлять требованиями к проверке подлинности и доступу к ресурсам организации.
Вы можете разрешить участникам создавать учетные записи пользователей и управлять ими, либо ваше предприятие может создавать и управлять учетными записями для участников с помощью Enterprise Managed Users. Если вы разрешаете участникам управлять своими учетными записями, также можно настроить проверку подлинности SAML для повышения безопасности и централизации удостоверений, а также доступа к веб-приложениям, которые использует ваша команда.
Чтобы определить, какой метод лучше всего подходит для вашего предприятия, после изучения этих вариантов см. раздел Определение лучшего метода проверки подлинности для вашего предприятия.
Методы проверки подлинности для GitHub Enterprise Cloud
Для управления учетными записями и проверки подлинности в GitHub Enterprise Cloud доступны следующие параметры.
Проверка подлинности с помощью GitHub.com
По умолчанию каждый участник должен создать личную учетную запись в GitHub.com. Вы предоставляете доступ к своему предприятию, и участник может получить доступ к ресурсам предприятия после входа в учетную запись на GitHub.com. Участник управляет учетной записью и может вносить свой вклад в другие предприятия, организации и репозитории в GitHub.com.
Проверка подлинности с помощью GitHub.com с дополнительным ограничением доступа SAML
Если вы настроите дополнительное ограничение доступа SAML, каждый участник должен создать личную учетную запись и управлять ею в GitHub.com. Вы предоставляете доступ к своему предприятию, и участник может получить доступ к ресурсам предприятия после входа в учетную запись на GitHub.com и успешной проверки подлинности с помощью поставщика удостоверений SAML (IdP). Участник может вносить свой вклад в другие предприятия, организации и репозитории в GitHub.com, используя свою личную учетную запись. Дополнительные сведения о необходимости проверки подлинности SAML для всех ресурсов предприятия см. в разделе Сведения о SAML для корпоративной системы IAM.
Вы можете выбрать между настройкой SAML на уровне предприятия, которая применяет одну и ту же конфигурацию SAML ко всем организациям в пределах предприятия, и настройкой SAML отдельно для отдельных организаций. Дополнительные сведения см. в разделе AUTOTITLE.
Проверка подлинности с помощью Enterprise Managed Users и федерации
Если вам нужен дополнительный контроль над учетными записями участников предприятия в GitHub.com, можно использовать Enterprise Managed Users. С помощью Enterprise Managed Users вы подготавливаете учетные записи для участников предприятия и управляете ими в GitHub.com с помощью поставщика удостоверений. Каждый участник входит в созданную вами учетную запись, а организация управляет учетной записью. Вклады в остальные данные GitHub.com ограничены. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.
Определение лучшего метода проверки подлинности для вашего предприятия
Единый вход SAML и Enterprise Managed Users повышают безопасность ресурсов вашего предприятия. Enterprise Managed Users дополнительно позволяет вам управлять учетными записями пользователей для членов вашего предприятия и ограничивает возможности учетных записей. Однако эти ограничения могут оказаться неприемлемыми для вашего предприятия, если они мешают рабочим процессам ваших разработчиков.
Чтобы определить, выиграет ли ваше предприятие от единого входа SAML или Enterprise Managed Users, задайте себе следующие вопросы.
Вы хотите контролировать учетные записи пользователей для ваших пользователей?
Enterprise Managed Users может подойти вашему предприятию, если вы не хотите, чтобы корпоративные участники использовали свои личные учетные записи на GitHub.com для доступа к ресурсам вашего предприятия.
С помощью единого входа SAML разработчики создают свои личные учетные записи и управляют ими, при этом каждая учетная запись связана с удостоверением SAML в вашем поставщике удостоверений. Продукт Enterprise Managed Users больше похож на другие знакомые решения единого входа, так как вы предоставляете учетные записи для своих пользователей. Вы также можете обеспечить соответствие учетных записей пользователей удостоверению вашей компании, контролируя имена пользователей и адреса электронной почты, связанные с учетными записями.
Если сейчас вы требуете, чтобы ваши пользователи создавали новую учетную запись на GitHub.com только для вашего предприятия, вам может подойти Enterprise Managed Users. Однако единый вход SAML может быть лучшим вариантом, если ваш поставщик удостоверений используется в качестве достоверного источника для вашего пользователя, а управление доступом усложняет работу. Например, возможно, на вашем предприятии не установлен процесс регистрации новых пользователей в вашем поставщике удостоверений.
Какого поставщика удостоверений использует ваше предприятие?
Enterprise Managed Users поддерживается для ограниченного числа поставщиков удостоверений и требует SCIM, в то время как единый вход SAML обеспечивает полную поддержку большего числа поставщиков удостоверений, а также ограниченную поддержку всех поставщиков удостоверений, реализующих стандарт SAML 2.0, и не требует SCIM. Список поддерживаемых поставщиков удостоверений для каждого параметра см. в разделах Сведения о Enterprise Managed Users и Сведения о SAML для корпоративной системы IAM.
Enterprise Managed Users можно использовать с неподдерживаемым поставщиком удостоверений только при условии объединения неподдерживаемого поставщика удостоверений с поддерживаемым поставщиком удостоверений для использования в качестве точки интеграции. Если вы хотите избежать этой дополнительной сложности, единый вход SAML может быть лучшим решением для вас.
Работают ли ваши разработчики с общедоступными репозиториями, gist или сайтами GitHub Pages?
Чтобы предотвратить случайную утечку корпоративного содержимого у участников предприятия на GitHub.com, Enterprise Managed Users накладывает строгие ограничения на действия пользователей. Например, управляемые учетные записи пользователей не может создавать общедоступные репозитории, объекты видимости или GitHub Pages, которые видны за пределами предприятия. Полный список ограничений см. в разделе Сведения о Enterprise Managed Users.
Эти ограничения неприемлемы для некоторых предприятий. Чтобы определить, подойдет ли вам Enterprise Managed Users, просмотрите ограничения вместе с вашими разработчиками и убедитесь, что никакие ограничения не помешают вашим существующим рабочим процессам. Если это так, единый вход SAML может быть лучшим выбором для вашего предприятия.
Полагаются ли ваши разработчики на совместную работу за пределами вашего предприятия?
Управляемые учетные записи пользователей может вносить свой вклад только в репозитории на предприятии. Если разработчикам необходимо работать с репозиториями как внутри, так и вне вашей организации, включая частные репозитории, то Enterprise Managed Users могут не подойти вашему предприятию. Более оптимальным решением может быть единый вход SAML.
Некоторые компании поддерживают репозитории в существующем предприятии с помощью единого входа SAML в GitHub.com, а также создают корпоративный с управляемыми пользователями. Разработчики, которые участвуют в репозиториях, принадлежащих обоим предприятиям с одной рабочей станции, должны переключаться между учетными записями в GitHub.com в одном браузере или использовать разные браузеры для каждой учетной записи. Ему также может потребоваться изменить на рабочей станции конфигурацию Git под обе записи. Из-за сложности такого рабочего процесса увеличивается риск по ошибке сделать внутренний код достоянием общественности.
Если вы решили создать корпоративный с управляемыми пользователями, но требуете от разработчиков участия в ресурсах за пределами предприятия с одной рабочей станции, вы можете обеспечить поддержку переключения между учетными записями в локальной конфигурации Git разработчика. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.
Полагается ли ваше предприятие на внешних участников совместной работы?
С помощью единого входа SAML вы можете предоставить доступ к определенным репозиториям людям, которые не являются членами каталога вашего поставщика удостоверений, используя роль внешнего участника совместной работы. Это может быть особенно полезно для участников совместной работы, не являющихся частью вашего бизнеса, например, подрядчиков. Дополнительные сведения см. в разделе Добавление сторонних участников совместной работы в репозитории в вашей организации.
При использовании Enterprise Managed Users роли внешнего участника совместной работы не существует. Доступ к ресурсам предприятия может получить только управляемые учетные записи пользователей, которые всегда подготавливаются поставщиком удостоверений. Чтобы предоставить внешним участникам совместной работы доступ к вашему предприятию, вам придется использовать гостевые учетные записи в своем поставщике удостоверений. Если вы заинтересованы в использовании Enterprise Managed Users, уточните у своих разработчиков, не помешает ли это их существующим рабочим процессам. Если это так, единый вход SAML может быть лучшим решением.
Может ли ваше предприятие позволить себе расходы на миграцию?
Если ваше предприятие впервые использует GitHub.com, единый вход SAML и Enterprise Managed Users одинаково легко внедрить.
Если вы уже используете GitHub.com, а разработчики управляют своими собственными учетными записями пользователей, внедрение Enterprise Managed Users требует перехода на новую корпоративную учетную запись. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.
Хотя Enterprise Managed Users бесплатен, процесс миграции может потребовать от вашей команды времени или затрат. Убедитесь, что этот процесс миграции приемлем для вашего бизнеса и ваших разработчиков. В противном случае единый вход SAML может быть лучшим выбором для вас.
Принятие решения о настройке SAML на уровне предприятия или организации
Если вы решили использовать SAML вместо Enterprise Managed Users, необходимо решить, следует ли настроить SAML на уровне предприятия или организации.
Если некоторые группы в организации должны использовать разные поставщики проверки подлинности SAML для предоставления доступа к ресурсам в GitHub.com, настройте SAML для отдельных организаций. Со временем вы можете реализовать SAML для своих организаций, разрешив пользователям постепенно проходить проверку подлинности с помощью SAML. Кроме того, можно потребовать проверку подлинности SAML к определенной дате. Участники организации, не прошедшие проверку подлинности с помощью SAML к этой дате, будут удалены. Дополнительные сведения о SAML на уровне организации см. в разделе Об управлении удостоверениями и доступом с помощью единого входа SAML.
Если вы настраиваете SAML на уровне организации, участникам не требуется проходить проверку подлинности с помощью SAML для доступа к внутренним репозиториям. Дополнительные сведения о внутренних репозиториях см. в разделе Сведения о репозиториях.
Если вам нужно защитить внутренние репозитории или обеспечить согласованную проверку подлинности для каждой организации в вашем предприятии, вы можете настроить проверку подлинности SAML для корпоративной учетной записи. Конфигурация SAML для предприятия переопределяет любую конфигурацию SAML для отдельных организаций, и организации не могут переопределить корпоративную конфигурацию. После настройки SAML для предприятия участники организации должны пройти проверку подлинности с помощью SAML перед доступом к ресурсам организации, включая внутренние репозитории.
SCIM недоступен для корпоративных учетных записей, а синхронизация команд доступна только для SAML на уровне предприятия, если вы используете Azure AD в качестве поставщика удостоверений. Дополнительные сведения см. в разделе Управление синхронизацией команд для организаций на предприятии.
Независимо от выбранной реализации SAML вы не можете добавлять внешних участников совместной работы в организации или команды. В отдельные репозитории можно добавлять только внешних участников совместной работы.