Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Административные руководители предприятия

Сведения о поддержке политики условного доступа поставщика удостоверений

В этой статье

Если ваше предприятие использует единый вход OIDC, GitHub может проверить доступ к вашему предприятию и его ресурсам с помощью политики условного доступа поставщика удостоверений (CAP).

Чтобы управлять пользователями на предприятии с помощью поставщика удостоверений, для вашего предприятия должны быть включены Enterprise Managed Users, предоставляемые GitHub Enterprise Cloud. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.

Примечание: Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для Azure AD.

О поддержке политик условного доступа

Если ваше предприятие использует единый вход OIDC, GitHub будет автоматически использовать IP-условия политики условного доступа (CAP) поставщика удостоверений для проверки взаимодействия пользователей с GitHub, когда участники меняют IP-адреса, и каждый раз, когда используется ключ personal access token или SSH.

GitHub Enterprise Cloud поддерживает CAP для любого корпоративный с управляемыми пользователями, где включен единый вход OIDC. GitHub Enterprise Cloud применяет условия IP-адреса поставщика удостоверений, но не может обеспечить соответствие требованиям вашего устройства. Владельцы предприятия могут использовать эту конфигурацию списка разрешенных IP-адресов вместо списка разрешенных IP-адресов GitHub Enterprise Cloud. Это можно сделать после настройки единого входа OIDC. Дополнительные сведения о списках разрешенных IP-адресов см. в разделах Ограничение сетевого трафика для предприятия с помощью списка разрешенных IP-адресов и Управление разрешенными IP-адресами для организации.

Дополнительные сведения об использовании OIDC с Enterprise Managed Users см. в разделах Настройка OIDC для Управляемых пользователей Enterprise и Миграция с SAML на OIDC.

Рекомендации по интеграции и автоматизации

GitHub отправляет исходный IP-адрес вашему поставщику удостоверений для проверки с вашей CAP. Чтобы убедиться, что действия и приложения не блокируются CAP вашего поставщика удостоверений, вам необходимо внести изменения в конфигурацию.

Предупреждение: Если вы используете GitHub Enterprise Importer для переноса организации из экземпляр GitHub Enterprise Server, обязательно используйте учетную запись службы, которая не входит в Azure AD CAP, в противном случае миграция может быть заблокирована.

GitHub Actions

Действия, использующие personal access token, скорее всего, будут заблокированы capp вашего поставщика удостоверений. Рекомендуется, чтобы personal access tokens создавались учетной записью службы, которая затем исключается из элементов управления IP-адресами в CAP поставщика удостоверений.

Если вы не можете использовать учетную запись службы, еще одним вариантом разблокировки действий, использующих personal access tokens, является разрешение диапазонов IP-адресов, используемых GitHub Actions. Дополнительные сведения см. в разделе Сведения об IP-адресах GitHub.

GitHub Codespaces

GitHub Codespaces может быть недоступно, если ваше предприятие использует единый вход OIDC с CAP для ограничения доступа по IP-адресам. Это связано с тем, что codespace создаются с динамическими IP-адресами, которые, скорее всего, будет блокироваться поставщиком удостоверений. Другие политики CAP также могут повлиять на доступность GitHub Codespaces, в зависимости от конкретной настройки политики.

GitHub Apps и OAuth Apps

Когда GitHub Apps и OAuth Apps входят в систему пользователя и выполняют запросы от его имени, GitHub отправляет IP-адрес сервера приложения поставщику удостоверений для проверки. Если IP-адрес сервера приложения не проверен CAP вашего поставщика удостоверений, запрос не будет выполнен.

Когда GitHub Apps вызывает API GitHub, действующие либо как само приложение, либо как установка, эти вызовы не выполняются от имени пользователя. Так как CAP поставщика удостоверений выполняет и применяет политики к учетным записям пользователей, эти запросы приложений не могут быть проверены на соответствие CAP и всегда разрешены через. Дополнительные сведения о проверке подлинности GitHub Apps как себя или в качестве установки см. в разделе Сведения о проверке подлинности с помощью Приложение GitHub.

Вы можете связаться с владельцами приложений, которые необходимо использовать, запросить их диапазоны IP-адресов и настроить CAP вашего поставщика удостоверений, чтобы разрешить доступ из этих диапазонов IP-адресов. Если не удается связаться с владельцами, можно просмотреть журналы входа в IdP, чтобы проверить IP-адреса, указанные в запросах, а затем внести эти адреса в список разрешенных.

Если вы не хотите разрешать все диапазоны IP-адресов для всех корпоративных приложений, вы также можете исключить установленные GitHub Apps и авторизованные OAuth Apps из списка разрешений поставщика удостоверений. В этом случае эти приложения будут продолжать работать независимо от исходного IP-адреса. Дополнительные сведения см. в разделе Применение политик для параметров безопасности в вашем предприятии.