Hvordan fungerer GitHub-godkendelse?

  • 6 minutter

I det forrige undermodul lærte du om typiske administrationsopgaver på team-, organisations- og virksomhedsniveau. I denne enhed skal du udforske en af de mest almindelige administrative opgaver, der udføres af organisationsejere, som er at konfigurere og styre brugernes godkendelse til GitHub.

GitHubs godkendelsesindstillinger

Der er flere muligheder for godkendelse med GitHub:

Brugernavn og adgangskode

Administratorer kan give brugerne tilladelse til at fortsætte med at bruge standardgodkendelsesmetoden for brugernavn og adgangskode, også kaldet HTTP-godkendelsesskemaet "grundlæggende".

Notat

GitHub understøtter ikke længere godkendelse af adgangskode til Git-handlinger eller API-brug. Vi anbefaler på det kraftigste, at du bruger en (eller flere) af de andre indstillinger, der er angivet i denne lektion.

Personlige adgangstokens

Skærmbillede af skærmen med personlige adgangstokens.

Personlige adgangstokens (PAT'er) er et alternativ til at bruge adgangskoder til godkendelse til GitHub, når du bruger GitHub-API'en eller kommandolinjen. Brugerne genererer et token via indstillingen GitHub-indstillinger og knytter tokentilladelserne til et lager eller en organisation. Når brugerne interagerer med GitHub ved hjælp af kommandolinjeværktøjet git, kan de angive tokenoplysningerne, når de bliver bedt om at angive deres brugernavn og adgangskode.

SSH-nøgler

Som et alternativ til at bruge personlige adgangstokens kan brugerne oprette forbindelse til og godkende fjernservere og -tjenester via SSH ved hjælp af SSH-nøgler. SSH-nøgler fjerner behovet for, at brugerne skal angive deres brugernavn og personlige adgangstoken for hver interaktion.

Når du konfigurerer SSH, genererer brugerne en SSH-nøgle, føjer den til ssh-agenten og føjer derefter nøglen til deres GitHub-konto. Tilføjelse af SSH-nøglen til ssh-agenten sikrer, at SSH-nøglen har et adgangsudtryk som et ekstra lag af sikkerhed. Brugerne kan konfigurere deres lokale kopi af Git til automatisk at angive adgangsudtrykket, eller de kan angive det manuelt, hver gang de bruger kommandolinjeværktøjet Git til at interagere med GitHub.

Du kan endda bruge SSH-nøgler med et lager, der ejes af en organisation, der bruger SAML-enkeltlogon (SSO). Hvis organisationen leverer SSH-certifikater, kan brugerne også bruge det til at få adgang til organisationens lagre uden at føje certifikatet til deres GitHub-konto.

Udrul nøgler

Udrul nøgler er en anden type SSH-nøgle i GitHub, der giver en bruger adgang til et enkelt lager. GitHub knytter den offentlige del af nøglen direkte til lageret i stedet for en personlig brugerkonto, og den private del af nøglen forbliver på brugerens server. Installationsnøgler er som standard skrivebeskyttede, men du kan give dem skriveadgang, når de føjes til et lager.

Sådan konfigurerer du gaffelindstillinger:

  1. Gå til lagerets indstillinger.
  2. I venstre sidepanel, under Sikkerhed, skal du klikke på Implementer nøgler.
  3. Find indstillingen Tilføj installationsnøgle for at oprette en ny nøgle.

Skærmbillede, der viser indstillingen Tilføj installationsnøgle på indstillingen Installationsnøgler.

GitHubs tilføjede sikkerhedsindstillinger

GitHub indeholder en række sikkerhedsindstillinger, der hjælper med at beskytte konti og organisationsressourcer.

Tofaktorgodkendelse

Skærmbillede af skærmbilledet med tofaktorgodkendelse.

To-faktor-godkendelse (2FA), nogle gange kendt som multifaktorgodkendelse (MFA), tilføjer et ekstra lag af beskyttelse til din GitHub-konto. Med 2FA logger brugerne ind med deres brugernavn og adgangskode og giver derefter en anden form for godkendelse.

GitHub understøtter flere muligheder for anden faktor:

  • Godkenderapps (f.eks. Microsoft Authenticator, Google Authenticator eller Authy), der genererer tidsbaserede engangskoder.
  • Hardwaresikkerhedsnøgler (f.eks. YubiKey eller Titan-sikkerhedsnøgle), der understøtter FIDO2/WebAuthn.
  • Adgangsnøgler til adgangskodefri, phishing-resistent godkendelse.
  • SMS-baserede koder, som understøttes, men anses for at være mindre sikre end andre muligheder og ikke anbefales som en primær metode.

2FA-håndhævelse:

  • For organisationer på GitHub Team og GitHub Enterprise Cloud kan organisationsejere kræve, at medlemmer, eksterne samarbejdspartnere og faktureringschefer aktiverer 2FA for deres personlige konti.
  • Virksomhedsadministrerede brugere (EMU'er) og GitHub Enterprise Server (GHE.com): Administratorer kan kun kræve 2FA for virksomhedsadministrerede konti, men kan ikke håndhæve 2FA på brugernes personlige GitHub.com konti.

Håndhævelse af 2FA hjælper med at beskytte organisationer mod uautoriseret adgang og styrker sikkerheden for arkiver og følsomme data.

SAML SSO

Hvis du administrerer dine brugeres identiteter centralt med en identitetsudbyder (IdP), kan du konfigurere SAML enkeltlogon (SSO) for at beskytte din organisations ressourcer på GitHub. SAML SSO giver organisations- og virksomhedsejere mulighed for at kontrollere og sikre adgang til lagre, problemer, pull-anmodninger og meget mere. Når du får adgang til ressourcer, omdirigerer GitHub brugere til godkendelse med organisationens IdP.

GitHub understøtter alle identitetsudbydere, der implementerer SAML 2.0-standarden, med officiel understøttelse af flere populære udbydere, herunder:

  • AD FS (Active Directory Federation Services).
  • Microsoft Entra ID.
  • Okta.
  • OneLogin.
  • PingOne.

LDAP (GitHub Enterprise Server)

LDAP (Lightweight Directory Access Protocol) er en meget brugt protokol til at få adgang til og administrere oplysninger om brugerbiblioteker. På GitHub Enterprise Server giver LDAP-integration dig mulighed for at godkende brugere i forhold til dit eksisterende virksomhedskatalog og administrere lageradgang centralt.

GitHub Enterprise Server kan integreres med større LDAP-tjenester såsom:

GitHub Enterprise Server kan integreres med populære LDAP-tjenester som:

  • Active Directory.
  • Oracle Directory Server Enterprise Edition.
  • OpenLDAP.
  • Åbn mappe.