Ověřování uživatele

Dokončeno

Pokud jde o ověřování uživatelů, zabezpečení by mělo být jedním z aspektů, které je potřeba vzít v úvahu. Silné zabezpečení je nezbytné. Zdá se, že každý měsíc nebo tak společnost hlásí porušení zabezpečení dat. Přihlašovací údaje se ukradnou kvůli neefektivním procesům zabezpečení nebo kvůli nedostatku aktuálních funkcí zabezpečení ve společnosti. Vytvoření zabezpečeného ověřování uživatelů může být obtížné, pokud přijetí uživatele vyžaduje k ověření dlouhý a frustrující postup.

GitHub Enterprise podporuje dvě doporučené metody zabezpečeného ověřování uživatelů:

  • Jednotné přihlašování SAML (SSO)
  • OvěřováníTwo-Factor (2FA)

Ověřování pomocí SAML SSO

Jednotné přihlašování SAML (Security Assertion Markup Language, SSO) integruje GitHub s poskytovatelem identity vaší organizace (IdP), což umožňuje centralizované řízení přístupu a zlepšuje soulad s předpisy. Pokud je tato možnost povolená, GitHub uživatele pro ověření před udělením přístupu k prostředkům organizace přesměruje na poskytovatele identity (IdP).

Povolení a vynucování SAML SSO (jednotného přihlašování)

Jednotné přihlašování SAML můžete nakonfigurovat na úrovni organizace nebo podniku v závislosti na rozsahu vynucení, který požadujete.

Organization-Level jednotného přihlašování SAML

  • Nastavení: V nastavení organizace v části Zabezpečení zadejte adresu URL jednotného přihlašování SAML vašeho poskytovatele identity (IdP) a veřejný certifikát. Otestujte a uložte konfiguraci.
  • Vynucení: Vyberte možnost Vyžadovat ověření jednotného přihlašování SAML , aby se členové nedodržující předpisy odebrali automaticky.
  • Případ použití: Ideální pro postupné zavedení nebo testování s omezeným dopadem.

Poznámka:

GitHub odebere pouze členy organizace, kteří se nemohou ověřit. Členové podniku zůstanou, dokud znovu nepřistoupí k prostředku.

Enterprise-Level jednotného přihlašování SAML

  • Nastavení: V nastavení podnikového účtu povolte jednotné přihlašování SAML podobně jako na úrovni organizace.
  • Prosazení: Použijte SSO ve všech organizacích ve vašem podniku.
  • Výhody: Zajišťuje jednotné zásady a snižuje riziko fragmentovaných konfigurací.
  • Poznámka: GitHub neodebere okamžitě nekompatibilní podnikové členy. Při přístupu se zobrazí výzva k ověření.

Výběr správného rozsahu jednotného přihlašování

Kritéria Org-Level Enterprise-Level
Scope Individuální organizace Celý podnik
Odebrání uživatele Okamžitě po vynucování Odloženo do dalšího přístupu
Konzistence zásad Liší se podle organizace Sjednocené napříč podniky
Složitost nastavení Nižší Vyšší
Případ použití Pilotní/testovací Široké dodržování předpisů

Krok za krokem: Povolení a vynucení jednotného přihlášení SAML

Scope Postup
Organizace 1. Přejděte do nastavení → organizacezabezpečení.
2. Aktivujte SAML podle podrobností vašeho zprostředkovatele identity.
3. Otestujte konfiguraci a uložte.
4. Vyberte Vyžadovat jednotné přihlašování SAML a pak odeberte uživatele nedodržující předpisy.
Enterprise 1. Přejděte do NastaveníZabezpečení vaší firmy.
2. Aktivujte SAML podle podrobností vašeho zprostředkovatele identity.
3. Otestujte konfiguraci a uložte.
4. Vynucujte jednotné přihlašování ve všech organizacích a zkontrolujte nekompatibilní uživatele.

Snímek obrazovky s nastavením, které vyžaduje ověřování jednotného přihlašování pro všechny členy organizace

Two-Factor Ověřování (2FA)

2FA přidá druhý ověřovací krok nad rámec uživatelského jména a hesla. Můžete vyžadovat 2FA pro členy organizace, externí spolupracovníky a správce fakturace.

Upozorňující

Pokud potřebujete použít dvojúrovňové ověřování pro vaši organizaci, odeberou se všechny účty, které nepoužívají 2FA, z organizace a ztratí přístup k jeho úložištím. Mezi ovlivněné účty patří účty robotů.

Podrobnější informace o 2FA najdete v tématu Zabezpečení účtu pomocí dvojúrovňového ověřování (2FA).

Povinné používání 2FA

  • Přejděte do nastavení zabezpečení vaší organizace.
  • Zaškrtněte políčko Vyžadovat dvoufaktorové ověřování.
  • Informujte požadavek předem, abyste zabránili ztrátě přístupu.

Snímek obrazovky se zaškrtávacím políčkam vyžadujícím dvoufaktorové ověřování pro členy v organizaci

Metody 2FA na GitHubu

Metoda Popis
Klíče zabezpečení Nejbezpečnější metoda. Fyzická zařízení USB nebo NFC, která brání útoku phishing. Vyžaduje předchozí nastavení pomocí hesla TOTP (jednorázová hesla založená na čase) nebo SMS (Služba krátkých zpráv).
Aplikace TOTP Doporučeno. Generuje jednorázová hesla založená na čase, podporuje zálohování a funguje offline.
SMS Nejméně bezpečné. Mělo by se použít jenom tam, kde totp není možné. Podpora služby GitHub SMS se liší podle oblastí.

Jednorázová hesla založená na čase

Snímek obrazovky s jednorázovým heslem založeným na čase

Podpora služby GitHub SMS

Snímek obrazovky s kódem SMS

Poznámka:

Klíče zabezpečení ukládají přihlašovací údaje místně a nikdy nezpřístupňují tajné kódy. GitHub doporučuje klíče FIDO2/U2F.

Auditování dodržování předpisů 2FA

Pokud chcete zkontrolovat, kdo povolil 2FA:

  1. Přejděte do části Organizace → vyberte kartu Organizace → Lidé .
  2. Vyberte filtr 2FA .

Odtud můžete identifikovat nevyhovující uživatele a následně je kontaktovat mimo GitHub, obvykle prostřednictvím e-mailu.

Snímek obrazovky s nastavením zabezpečení účtu