关于组织的双重身份验证
双重身份验证 (2FA) 是登录网站或应用时使用的额外保护层。 你可以要求所有 成员和组织中的外部协作者在 GitHub Enterprise Server 上启用双因素身份验证。 有关双因素身份验证的详细信息,请参阅“使用双重身份验证 (2FA) 保护您的帐户”。
警告:
- 需要对你的组织使用双因素身份验证时,不使用 2FA 的成员和外部协作者将从组织中删除,并且失去访问其存储库的权限。 他们还会失去对组织私有仓库的复刻的访问权限。 如果他们在从你的组织中删除后的三个月内为其个人帐户启用双因素身份验证,则可以恢复其访问特权和设置。 有关详细信息,请参阅“Reinstating a former member of your organization(恢复组织前成员的身份)”。
- 此外,还需要为无人参与或共享访问帐户(例如机器人和服务帐户)启用 2FA。 如果在启用所需的双因素身份验证后,没有为这些无人参与的帐户配置 2FA,这些帐户将从组织中删除,并失去对其存储库的访问权限。 有关详细信息,请参阅“使用双因素身份验证管理机器人和服务帐户”。
- 如果组织所有者、成员、 或外部协作者在你启用所需的双因素身份验证后为其个人帐户禁用 2FA,则系统会自动将其从组织中删除。
- 如果您是某个要求双重身份验证的组织的唯一所有者,则在不为组织禁用双重身份验证要求的情况下,您将无法为个人帐户禁用双重身份验证。
支持 2FA 的身份验证方法
身份验证方法 | 说明 | 双重身份验证支持 |
---|---|---|
内置 | 根据存储在 GitHub Enterprise Server 设备上的个人帐户进行身份验证。 | 在 GitHub Enterprise Server 设备上支持和管理。 组织所有者可要求对组织的成员启用 2FA。 |
内置向身份提供商进行身份验证 | 根据存储在标识提供者中的帐户进行身份验证。 | 依赖标识提供者。 |
LDAP | 允许与您的公司目录服务集成以进行身份验证。 | 在 GitHub Enterprise Server 设备上支持和管理。 组织所有者可要求对组织的成员启用 2FA。 |
SAML | 在外部身份提供商上进行身份验证。 | 在 GitHub Enterprise Server 设备上不受支持或无法管理,但受外部身份验证提供商的支持。 在组织上无法实施双重身份验证。 |
CAS | 单点登录服务由外部服务器提供。 | 在 GitHub Enterprise Server 设备上不受支持或无法管理,但受外部身份验证提供商的支持。 在组织上无法实施双重身份验证。 |
先决条件
在要求 组织成员和外部协作者使用双因素身份验证之前,你必须对 GitHub Enterprise Server 上的帐户启用双因素身份验证。 有关详细信息,请参阅“使用双重身份验证 (2FA) 保护您的帐户”。
在你需要使用双因素身份验证之前,我们建议你通知 组织成员和外部协作者,并要求他们为其帐户设置 2FA。 您可以查看成员和外部协作者是否已经使用 2FA。 有关详细信息,请参阅“查看组织中的用户是否已启用 2FA”。
在你的组织中要求进行双因素身份验证
- 在 GitHub 的右上角,选择个人资料照片,然后单击“你的组织”。
- 在组织旁边,单击“设置”。
- 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
- 在“双因素身份验证”下,选择“要求对组织中的每个人进行双因素身份验证”,然后单击“保存”********。
- 如果出现提示,请阅读有关将从组织中删除的成员和外部协作者的信息。
- 在文本字段中,键入你的组织名称以确认更改,然后单击“删除成员并要求双因素身份验证”。
查看从您的组织中删除的人员
要查看在你要求双因素身份验证时因为不合规而被从组织中自动删除的人员,你可以搜索组织的审核日志来查看从组织中删除的人员。 审核日志事件将显示是否因为 2FA 不合规而删除该人员。 有关详细信息,请参阅“审查组织的审核日志”。
- 在 GitHub 的右上角,选择个人资料照片,然后单击“你的组织”。
- 在组织旁边,单击“设置”。
- 在边栏的“存档”部分中,单击“ 日志”,然后单击“审核日志”。
- 输入您的搜索查询。 要搜索:
- 删除的组织成员,请在搜索查询中使用
action:org.remove_member
- 删除的外部协作者,请在搜索查询中使用
action:org.remove_outside_collaborator
- 删除的组织成员,请在搜索查询中使用
你还可以在搜索中使用时间范围查看从组织中删除的人员。
帮助被删除的成员和外部协作者重新加入您的组织
如果在您启用双重身份验证使用要求时有任何成员或外部协作者被从组织中删除,他们将收到通知他们已被删除的电子邮件。 他们应当为个人帐户启用双重身份验证,并联系组织所有者来请求您的组织的访问权限。