Exigir autenticação de dois fatores para organizações na conta corporativa
Os proprietários corporativos podem exigir que integrantes da organização, gerentes de cobrança e colaboradores externos em todas as organizações pertencentes a uma conta corporativa usem autenticação de dois fatores para proteger suas contas pessoais.
Antes de exigir 2FA para todas as organizações pertencentes à conta corporativa, você deve habilitar a autenticação de dois fatores para sua própria conta. Para obter mais informações, consulte "Proteger sua conta com autenticação de dois fatores (2FA)".
Avisos:
- Se você exigir autenticação de dois fatores para a conta corporativa, os integrantes, colaboradores externos e gerentes de cobrança (incluindo contas bot) em todas as organizações pertencentes à conta corporativa que não utilizem 2FA serão removidos da organização e perderão acesso aos repositórios dela. Eles também perderão acesso às bifurcações dos repositórios privados da organização. Se a autenticação de dois fatores for habilitada para a conta pessoal deles em até três meses após a remoção da organização, será possível restabelecer as configurações e os privilégios de acesso deles. Para obter mais informações, consulte "Restabelecer ex-integrantes da organização".
- Qualquer proprietário da organização, integrante, gerente de cobrança ou colaborador externo em qualquer das organizações pertencentes à conta corporativa que desabilite 2FA para a conta pessoal dele depois que você tiver habilitado a autenticação de dois fatores obrigatória será removido automaticamente da organização.
- Se você for o único proprietário de uma conta corporativa que exige autenticação de dois fatores, não poderá desabilitar 2FA para sua conta pessoal sem desabilitar a autenticação de dois fatores obrigatória para a conta corporativa.
Antes de exigir o uso da autenticação de dois fatores, é recomendável notificar os integrantes da organização, colaboradores externos e gerentes de cobrança e pedir que eles configurem 2FA nas contas deles. Os proprietários da organização podem ver se integrantes e colaboradores externos já utilizam 2FA na página People (Pessoas) de cada organização. Para obter mais informações, consulte "Ver se os usuários na organização têm a 2FA habilitada".
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Em "Two-factor authentication" (Autenticação de dois fatores), revise as informações sobre como alterar a configuração. Opcionalmente, para ver a configuração atual para todas as organizações da conta corporativa antes de aplicar a configuração, clique em View your organizations' current configurations (Ver as configurações atuais da organização).

-
Em "Two-factor authentication" (Autenticação de dois fatores), selecione Require two-factor authentication for all organizations in your business (Exigir autenticação de dois fatores para todas as organizações na empresa) e clique em Save (Salvar).

-
Se solicitado, leia as informações sobre os integrantes e colaboradores externos que serão removidos das organizações pertencentes à conta corporativa. Para confirmar a alteração, digite o nome da conta corporativa e clique em Remove members & require two-factor authentication (Remover integrantes e exigir autenticação de dois fatores).

-
Como alternativa, se algum integrante ou colaborador externo for removido das organizações pertencentes à conta corporativa, recomendamos enviar um convite para restabelecer os privilégios e o acesso à organização que ele tinha anteriormente. Cada pessoa precisa habilitar a autenticação de dois fatores para poder aceitar o convite.
Gerenciar endereços IP permitidos para organizações na conta corporativa
Os proprietários de empresas podem restringir o acesso a ativos pertencentes a organizações na conta corporativa, configurando uma lista de permissão de endereços IP específicos. Por exemplo, você pode permitir o acesso somente a partir do endereço IP da rede do escritório. A lista de permissão para endereços IP irá bloquear o acesso através da web, API, e Git de qualquer endereço IP que não esteja na lista de permissões.
Você pode aprovar o acesso para um único endereço IP ou uma série de endereços usando a notação CIDR. Para obter mais informações, consulte "CIDR notation" na Wikipedia.
Para fazer cumprir a lista de permissões de IP, você deve primeiro adicionar endereços IP à lista, e então habilitar a lista de permissões de IP. É preciso adicionar o endereço IP atual ou um intervalo correspondente antes de habilitar a lista de permissões de IP.
Você também pode configurar endereços IP permitidos para uma organização individual. Para obter mais informações, consulte "Gerenciar endereços IP permitidos para a sua organização".
Adicionar endereços IP permitidos
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Em "IP Address" (Endereço IP), digite um endereço IP ou um intervalo de endereços, na notação CIDR.

-
Em "Description" (Descrição), digite uma descrição do endereço IP ou intervalo permitido.

-
Clique em Add (Adicionar).

Habilitar endereços IP permitidos
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Em "IP allow list" (Lista de permissões IP), selecione Enable IP allow list (Habilitar lista de permissões IP).

-
Clique em Salvar.
Editar endereços IP permitidos
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Em "IP allow list", à direita da entrada que deseja editar, clique em Edit.

-
Digite um endereço IP ou um intervalo de endereços, na notação CIDR.

-
Digite uma descrição do endereço IP permitido ou intervalo.

-
Clique em Atualizar.
Excluir endereços IP permitidos
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Em "IP allow list" (lista de permissão), à direita da entrada que deseja excluir, clique em Delete.

-
Para excluir permanentemente a entrada, clique em Yes, delete this IP allow list entry (Sim, excluir este IP permitir a entrada da lista).

Usar GitHub Actions com uma lista endereços IP permitidos
Aviso: Se você usar uma lista de permitir IP e também gostaria de usar GitHub Actions, você deve usar executores auto-hospedados. Para obter mais informações, consulte "Hosting your own runners."
Para permitir que seus executores auto-hospedados se comuniquem com GitHub, adicione o endereço IP ou o intervalo de endereços IP dos seus executores auto-hospedados para à lista de permitir IP. Para obter mais informações, consulte "Adding an allowed IP address."
Habilitar logon único de SAML para organizações na conta corporativa
O SAML SSO concede aos proprietários corporativos da organização em GitHub uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e pull requests. Para obter mais informações, consulte "Sobre identidade e gerenciamento de acesso com o logon único SAML".
Os proprietários empresariais podem ativar o SAML SSO e autenticação centralizada através de um IdP de SAML em todas as organizações que pertencem a uma conta corporativa. Depois que você habilita o SAML SSO para a conta corporativa, ele é habilitado por padrão para todas as organizações pertencentes a ela. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.
Para acessar os recursos de cada organização em GitHub, o integrante deve ter uma sessão SAML ativa no navegador. Para acessar os recursos protegidos de cada organização usando a API e o Git, o integrante deve usar um token de acesso pessoal ou chave SSH que o integrante autorizou a usar com a organização. Os proprietários da empresa podem ver e revogar a identidade vinculada de um integrante, sessões ativas ou credenciais autorizadas a qualquer momento. Para obter mais informações, consulte "Visualizar e gerenciar o acesso de SAML de um usuário à sua conta corporativa".
Oferecemos suporte limitado para todos os provedores de identidade que implementam o padrão SAML 2.0. Apoiamos oficialmente esses provedores de identidade que foram testados internamente:
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Se você estiver participando do beta privado para o provisionamento de contas corporativas, ao habilitar o SAML para a sua conta corporativa, o provisionamento e desprovisionamento do SCIM é habilitado por padrão em GitHub. Você pode usar o provisionamento para gerenciar a associação à organização, configurando o SCIM no seu IdP. Se você não estiver participando do beta privado, o SCIM não será compatível para as contas corporativas. Para obter mais informações, consulte "Gerenciar o provisionamento de usuários para organizações na sua conta corporativa".
Observação: se você habilitar a autenticação com logon único SAML para a conta corporativa, as configurações SAML existentes no nível da organização serão substituídas.
Para obter informações mais detalhadas sobre como ativar o SAML usando o Okta, consulte "Configurar o logon único SAML e SCIM para a sua conta corporativa usando o Okta.
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Opcionalmente, para ver a configuração atual para todas as organizações da conta corporativa antes de aplicar a configuração, clique em View your organizations' current configurations (Ver as configurações atuais da organização).

-
Em "SAML single sign-on" (Logon único de SAML), selecione Enable SAML authentication (Habilitar autenticação SAML).

-
No campo Sign on URL (URL de logon), digite o ponto de extremidade HTTPS do seu IdP para solicitações de logon único. Esse valor está disponível na configuração do IdP.

-
Como alternativa, no campo Issuer (Emissor), digite o nome do emissor de SAML. Isso confirma a autenticidade das mensagens enviadas.

-
Em Public Certificate (Certificado público), cole um certificado para verificar as respostas de SAML.

-
Para verificar a integridade das solicitações do emissor de SAML, clique em . Em seguida, nos menus suspensos Signature Method (Método de assinatura) e Digest Method (Método de compilação), escolha o algoritmo de hash usado pelo emissor de SAML.

-
Antes de habilitar o SAML SSO para sua empresa, clique em Test SAML configuration (Testar configuração de SAML) para garantir que as informações que você digitou estão corretas.

-
Clique em Salvar.
Gerenciar o provisionamento de usuários para organizações na conta corporativa
Os proprietários das empresas podem gerenciar a participação na organização de uma conta corporativa diretamente de um provedor de identidade (IdP).
Nota:O fornecimento de usuários para contas corporativas está atualmente em versão beta privada e sujeita a alterações. Para solicitar acesso ao beta, contact our account management team (entre em contato com nossa equipe de gerenciamento de conta).
Se você usar o Okta como seu IdP, você poderá usar o SCIM para gerenciar a associação à organização na conta corporativa. O SCIM convida automaticamente as pessoas ou remove pessoas de organizações na sua conta corporativa com base no fato de serem integrantes do grupo que correspondem a cada organização em seu IdP.
Se você estiver participando do beta privado para o provisionamento de contas corporativas, ao habilitar o SAML para a sua conta corporativa, o provisionamento e desprovisionamento do SCIM é habilitado por padrão em GitHub. Você pode usar o provisionamento para gerenciar a associação à organização, configurando o SCIM no seu IdP. Opcionalmente, você também pode habilitar o provisionamento de SAML e, separadamente, o desprovisionamento.
Se você configurar o SCIM no seu IdP, toda vez que fizer alterações na associação do grupo no seu IdP, este fará uma chamada de SCIM para GitHub afim de atualizar a associação da organização correspondente. Se você ativar o provisionamento de SAML, toda vez que um integrante da empresa acessar um recurso protegido pela configuração de SAML da conta corporativa, essa declaração de SAML irá acionar o provisionamento.
Para cada chamada de SCIM ou declaração de SAML, GitHub irá verificar os grupos de IdP aos quais o usuário pertence e executar as operações a seguir:
- Se o usuário for integrante de um grupo de IdP que corresponde a uma organização pertencente à conta corporativa e o usuário não for, atualmente, um membro dessa organização, adicione o usuário à organização (declaração de SAML) ou envie um convite por e-mail para participar da organização (chamada de SCIM).
- Cancele quaisquer convites existentes para o usuário juntar-se a uma organização que pertencem à conta corporativa.
Para cada chamada de SCIM e, no caso de habilitar o desprovisionamento de SAML, em cada declaração de SAML, o GitHub também executará a operação a seguir:
- Se o usuário não for membro de um grupo de IdP que corresponde a uma organização pertencente à sua conta corporativa, e o usuário for, atualmente, um integrante dessa organização, remova o usuário da organização.
Se desprovisionamento remover o último proprietário de uma organização, a organização ficará sem proprietário. Os proprietários das empresas podem assumir a propriedade de organizações sem proprietários. Para obter mais informações, consulte "Gerenciar organizações sem proprietários na sua conta corporativa".
Para habilitar o provisionamento de usuários para sua conta corporativa usando o Okta, consulte "Configurar o logon único SAML e SCIM para a sua conta corporativa usando o Okta".
Gerenciar a sincronização de equipes para organizações na conta corporativa
Os proprietários das empresas podem habilitar a sincronização de equipes entre um IdP e GitHub para permitir que os proprietários da organização e os mantenedores de equipe conectem equipes nas organizações pertencentes à sua conta corporativa com grupos de IdP.
Quando sincronizar uma equipe GitHub com um grupo de IdP, as alterações no grupo IdP são refletidas no GitHub automaticamente, reduzindo a necessidade de atualizações manuais e scripts personalizados. Você pode usar um IdP com sincronização de equipe para gerenciar tarefas administrativas, como integrar novos membros, concedendo novas permissões para movimentos dentro de uma organização e removendo o acesso de membro à organização.
Você pode usar a sincronização de equipes com a sua conta corporativa com o Azure AD.
Depois que você ativar a sincronização de equipe, os mantenedores de equipe e os proprietários da organização poderão conectar uma equipe a um grupo de IdP no GitHub ou através da API. Para obter mais informações, consulte "Synchronizing a team with an identity provider group" e "Team synchronization."
Aviso: Quando você desativar a sincronização de equipe, os membros da equipe que foram atribuídos a uma equipe do GitHub através do grupo IdP são removidos da equipe e podem perder acesso aos repositórios.
Você também pode configurar e gerenciar a sincronização da equipe para uma organização individual. Para obter mais informações, consulte "Gerenciar a sincronização de equipe para a sua organização".
Pré-requisitos
Antes de poder habilitar a sincronização de equipes para a sua conta corporativa:
- Você ou o administrador do Azure AD deve ser um administrador global ou um administrador com função privilegiada no Azure AD.
- Você deve habilitar o logon único SAML para organizações na conta corporativa com o IdP compatível. Para obter mais informações, consulte "Habilitar o logon único SAML para organizações na conta corporativa".
- Você deve efetuar a autenticação na sua conta corporativa usando o SAML SSO e o IdP compatível. Para obter mais informações, consulte "Autenticar com logon único de SAML".
Gerenciar a sincronização de equipe para o Azure AD
Para habilitar a sincronização de equipes para Azure AD, sua instalação Azure AD precisa das seguintes permissões:
- Ler os perfis completos de todos os usuários
- Entrar e ler o perfil do usuário
- Ler dados do diretório
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Confirme que o SAML SSO está habilitado. For more information, see "Gerenciar logon único de SAML para sua organização".
-
Em "Team synchronization", clique em Enable for Azure AD.

-
Para confirmar a sincronização de equipes:
- Se você tiver acesso ao IdP, clique em Enable team synchronization (Habilitar sincronização de equipes). Você será redirecionado para a página do SAML SSO do provedor de identidade e precisará selecionar sua conta e revisar as permissões solicitadas.
- Se você não tiver acesso ao IdP, copie o link de redirecionamento do IdP e compartilhe-o com o administrador do IdP para continuar habilitando a sincronização de equipes.

-
Revise as informações do locatário do provedor de identidade que você deseja conectar à conta corporativa e clique em Aprovar.

-
Para desativar a sincronização de equipe, clique Desativar sincronização de equipe.

Gerenciar autoridades certificadas de SSH da conta corporativa
Os proprietários corporativos podem adicionar e excluir autoridades certificadas (CAs) de SSH de uma conta corporativa.
Adicionando uma CA de SSH à sua conta corporativa, você pode permitir que integrantes de qualquer organização pertencente à conta corporativa acessem repositórios da organização usando certificados de SSH fornecidos por você. Você pode exigir que os integrantes usem certificados SSH para acessar os recursos da organização, a menos que o SSH esteja desabilitado no seu repositório. Para obter mais informações, consulte "Sobre autoridades certificadas de SSH".
Adicionar uma autoridade certificada de SSH
Ao emitir cada certificado de cliente, você deve incluir uma extensão que especifica para qual usuário do GitHub o certificado serve. Para obter mais informações, consulte "Sobre autoridades certificadas SSH".
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
À direita de "SSH Certificate Authorities" (Autoridades de Certificados SSH), clique em New CA (Nova CA).

-
Em "Key," cole sua chave pública SSH.

-
Clique Add CA (Adicionar CA).
-
Opcionalmente, para exigir que membros utilizem certificados SSH, selecione Require SSH Certificates (Exigir certificados SSH), depois clique em Save (Salvar).

Excluir uma autoridade certificada de SSH
A exclusão de uma CA não pode ser desfeita. Se você quiser usar a mesma CA no futuro, precisará fazer upload dela novamente.
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.

-
Na lista de empresas, clique na empresa que você deseja visualizar.

-
Na barra lateral da conta corporativa, clique em Settings.

-
Na barra lateral esquerda, clique em Security (Segurança).

-
Em "SSH Certificate Authorities", à direita da CA que você deseja excluir, clique em Delete (Excluir).

-
Leia o alerta e clique em I understand, please delete this CA (Eu entendo, exclua este CA).


Formed in 2009, the Archive Team (not to be confused with the archive.org Archive-It Team) is a rogue archivist collective dedicated to saving copies of rapidly dying or deleted websites for the sake of history and digital heritage. The group is 100% composed of volunteers and interested parties, and has expanded into a large amount of related projects for saving online and digital history.
