مصادقة المستخدم
عندما يتعلق الأمر بمصادقة المستخدم، يجب أن يكون الأمان الأولوية الأولى التي تتبادر إلى الذهن. إن الأمن القوي أمر ضروري. يبدو أن الشركة تكتب تقارير خرق البيانات كل شهر أو ما يقارب ذلك. تُسرق بيانات الاعتماد بسبب عمليات الأمان غير الفعالة أو ببساطة بسبب عدم وجود ميزات أمان حديثة داخل الشركة. قد يكون إنشاء مصادقة مستخدم آمنة مهمة صعبة إذا تطلب اعتماد المستخدم خطوات طويلة ومحبطة للمصادقة.
يدعم GitHub Enterprise طريقتين موصى بهما لمصادقة المستخدم الآمنة:
- تسجيل الدخول الأحادي (SSO) ل SAML
- مصادقةTwo-Factor (2FA)
مصادقة SAML SSO
يدمج SAML (لغة ترميز تأكيد الأمان) SSO GitHub مع موفر الهوية (IdP) لمؤسستك، ما يسمح بالتحكم المركزي في الوصول، والامتثال المحسن. عند التمكين، يعيد GitHub توجيه المستخدمين إلى IdP للمصادقة قبل منح حق الوصول إلى موارد المؤسسة.
تمكين SAML SSO وفرضه
يمكنك تكوين SAML SSO على مستوى المؤسسة أو المؤسسة ، اعتمادا على نطاق الإنفاذ الذي تحتاج إليه.
Organization-Level SAML SSO
- الإعداد: في إعدادات مؤسستك ضمن الأمان، أدخل عنوان URL الخاص ب SAML SSO الخاص ب IdP والشهادة العامة. اختبر التكوين واحفظه.
- الإنفاذ: حدد طلب مصادقة SAML SSO لإزالة الأعضاء غير المتوافقين تلقائيا.
- حالة الاستخدام: مثالية للإصدارات التدريجية أو الاختبارات ذات التأثير المحدود.
ملاحظة
يزيل GitHub أعضاء المؤسسة الذين يفشلون في المصادقة فقط. يبقى أعضاء المؤسسة حتى يصلوا إلى المورد بعد ذلك.
Enterprise-Level SAML SSO
- الإعداد: في إعدادات حساب المؤسسة، قم بتمكين SAML SSO بشكل مشابه على مستوى المؤسسة.
- الإنفاذ: تطبيق تسجيل الدخول الأحادي (SSO) عبر جميع المؤسسات في مؤسستك.
- الفوائد: يضمن النهج الموحدة ويقلل من المخاطر الناجمة عن التكوينات المجزأة.
- ملاحظة: لا يزيل GitHub أعضاء المؤسسة غير المتوافقين على الفور. تتم مطالبتهم بالمصادقة عند الوصول.
اختيار نطاق تسجيل الدخول الأحادي المناسب
| Criteria | Org-Level | Enterprise-Level |
|---|---|---|
| نطاق | مؤسسة فردية | المؤسسة بأكملها |
| إزالة المستخدم | فورا عند الإنفاذ | مؤجل حتى الوصول التالي |
| تناسق النهج | يختلف حسب المؤسسة | موحد عبر المؤسسة |
| تعقيد الإعداد | أدنى | أعلى |
| حالة الاستخدام | الإصدار التجريبي/الاختبار | التوافق الواسع |
خطوة بخطوة: تمكين SAML SSO وفرضه
| Scope | Steps |
|---|---|
| المنظمة | 1. انتقل إلى مؤسستك → الإعدادات → الأمان. 2. تمكين SAML مع تفاصيل IdP الخاص بك. 3. اختبار التكوين والحفظ. 4. حدد Require SAML SSO، ثم قم بإزالة المستخدمين غير المتوافقين. |
| Enterprise | 1. انتقل إلى المؤسسات الخاصة بك → الإعدادات → الأمان. 2. تمكين SAML مع تفاصيل IdP الخاص بك. 3. اختبار التكوين والحفظ. 4. فرض تسجيل الدخول الأحادي عبر جميع المؤسسات ومراجعة المستخدمين غير المتوافقين. |
مصادقة Two-Factor (2FA)
يضيف 2FA خطوة تحقق ثانية تتجاوز اسم المستخدم وكلمة المرور. يمكنك طلب المصادقة 2FA لأعضاء المؤسسة والمتعاونين الخارجيين ومديري الفوترة.
تحذير
عندما تحتاج إلى استخدام المصادقة الثنائية لمؤسستك، تتم إزالة جميع الحسابات التي لا تستخدم 2FA من المؤسسة وفقدان الوصول إلى مستودعاتها. تتضمن الحسابات المتأثرة حسابات الروبوت.
لمزيد من المعلومات التفصيلية حول المصادقة الثنائية، راجع تأمين حسابك باستخدام المصادقة الثنائية (2FA).
فرض المصادقة 2FA
- انتقل إلى إعدادات الأمان الخاصة بمؤسستك.
- قم بتمكين خانة الاختيار المسماة Require two-factor authentication.
- إبلاغ المتطلبات مسبقا لمنع فقدان الوصول.
أساليب 2FA في GitHub
| Method | الوصف |
|---|---|
| مفاتيح الأمان | الطريقة الأكثر أمانا. أجهزة USB أو NFC الفعلية التي تمنع التصيد الاحتيالي. يتطلب إعدادا مسبقا باستخدام TOTP (كلمات المرور لمرة واحدة المستندة إلى الوقت) أو SMS (خدمة الرسائل القصيرة). |
| تطبيقات TOTP | الطريقة المستحسنة. ينشئ كلمات مرور لمرة واحدة، ويدعم النسخ الاحتياطي، ويعمل دون اتصال. |
| SMS | الأقل أمانا. يجب استخدام فقط حيث لا يكون TOTP قابلا للتطبيق. يختلف دعم GitHub SMS حسب المنطقة. |
كلمات المرور لمرة واحدة المستندة إلى الوقت
دعم GitHub SMS
ملاحظة
تخزن مفاتيح الأمان بيانات الاعتماد محليا ولا تعرض الأسرار أبدا. يوصي GitHub بمفاتيح FIDO2/U2F.
تدقيق توافق 2FA
لمراجعة من قام بتمكين المصادقة 2FA:
- انتقل إلى Your organizations → حدد org → People tab.
- حدد عامل تصفية 2FA .
من هنا، يمكنك تحديد المستخدمين غير المتوافقين والمتابعة خارج GitHub، عادة عبر البريد الإلكتروني.
