Administration af virksomhedsadgang, tilladelser og styring
I det forrige undermodul udforskede du, hvordan lager- og teamtilladelser fungerer i GitHub, og hvordan brugerne får adgang på disse niveauer. I dette undermodul lærer du, hvordan du administrerer tilladelser og adgang i større omfang på tværs af organisationer og virksomheder:
- Organisationstilladelser
- Virksomhedstilladelser
- Interne vs. eksterne samarbejdspartnere
- Strategier for mindste rettigheder
- Bedste fremgangsmåder for sikkerhed og styring
Tilladelsesniveauer for organisation
GitHub-organisationer giver teams en central måde at samarbejde om projekter på, samtidig med at de bevarer kontrolleret adgang til lagre og følsomme data. Organisationstilladelser bestemmer, hvad medlemmer og teams kan gøre i organisationen, hvilket sikrer, at hver bruger har det relevante adgangsniveau.
Der er flere tilladelsesniveauer på organisationsniveau:
| Tilladelsesniveau | Beskrivelse |
|---|---|
| Ejer | Organisationsejere kan gøre alt, hvad organisationsmedlemmer kan gøre, og de kan tilføje eller fjerne andre brugere til og fra organisationen. Denne rolle skal være begrænset til ikke mindre end to personer i din organisation. |
| Medlem | Organisationsmedlemmer kan oprette og administrere organisationslagre og -teams. |
| Redaktør | Organisationens redaktører kan blokere og fjerne blokeringen af bidragydere fra tredjelande, angive interaktionsgrænser og skjule kommentarer i offentlige lagre, som organisationen ejer. |
| Faktureringsstyring | Organisationsfaktureringschefer kan få vist og redigere faktureringsoplysninger. |
| Sikkerhedsadministratorer | Sikkerhedschefer i organisationen kan administrere sikkerhedsbeskeder og -indstillinger på tværs af organisationen. De kan også læse tilladelser for alle lagre i organisationen. |
| Ekstern samarbejdspartner | Eksterne samarbejdspartnere, f.eks. en konsulent eller midlertidig medarbejder, kan få adgang til et eller flere organisationslagre. De er ikke eksplicitte medlemmer af organisationen. |
Ud over disse niveauer kan du også angive standardtilladelser for alle medlemmer af organisationen:
Hvis du vil have forbedret administration og sikkerhed, kan du også overveje at give standardtilladelser til læsning til alle medlemmer af din organisation og justere deres adgang til lagre fra sag til sag. Hvis du har en relativt lille organisation med et lavt antal brugere, et lavt antal lagre eller en kombination af de to, kan dette begrænsningsniveau være unødvendigt. Hvis du har tillid til alle med push af ændringer til et lager, foretrækker du måske at give alle medlemmer skriverettigheder som standard.
Tilladelsesniveauer for virksomhed
Husk fra tidligere, at virksomhedskonti er samlinger af organisationer. I forlængelse heraf er hver enkelt brugerkonto, der er medlem af en organisation, også medlem af virksomheden. Du kan styre forskellige indstillinger, der er relateret til godkendelse, fra dette højere niveau.
Der er tre tilladelsesniveauer på virksomhedsniveau:
| Tilladelsesniveau | Beskrivelse |
|---|---|
| Ejer | Virksomhedsejere har fuld kontrol over virksomheden og kan udføre alle handlinger, herunder: – Administration af administratorer. – Tilføjelse og fjernelse af organisationer til og fra virksomheden. – Administration af virksomhedsindstillinger. – Gennemtvingelse af politikker på tværs af organisationer. – Administration af faktureringsindstillinger. |
| Medlem | Virksomhedsmedlemmer har de samme evner som organisationsmedlemmer. |
| Faktureringsstyring | Virksomhedsfaktureringschefer kan kun få vist og redigere din virksomheds faktureringsoplysninger og tilføje eller fjerne andre faktureringschefer. |
| Gæstesamarbejdspartner | Kan tildeles adgang til lagre eller organisationer, men har begrænset adgang som standard (kun virksomhedsadministrerede brugere) |
Ud over disse tre niveauer kan du også angive en politik for standardlagertilladelser på tværs af alle dine organisationer:
Du kan forbedre administrationen og sikkerheden ved at give alle medlemmer af din virksomhed læserettigheder og tilpasse deres adgang til lagre fra sag til sag. I en mindre virksomhed, f.eks. en med en enkelt, relativt lille organisation, foretrækker du måske at have tillid til alle medlemmer med skrivetilladelser som standard.
Sådan strømliner du adgangskontrol i virksomhedsskalaen yderligere:
- Indlejrede teams: Virksomhedskonti kan bruge indlejrede teamstrukturer til at afspejle afdelingshierarkier. Et overordnet teams tilladelser overlapper ned til underordnede teams og forenkler kompleks adgangsstyring.
- Automatisering & overvågning: Du kan bruge GitHubs API- eller GitHub-handlinger til at automatisere teamoprettelse og tilladelsestildelinger og overvåge adgang via organisations- eller virksomhedsovervågningslogge.
Virksomhedstilladelser og -politikker via regelsæt
I dette afsnit beskrives, hvordan du administrerer virksomhedstilladelser og -politikker via regelsæt. Vi udforsker de bedste fremgangsmåder for strukturering af organisationer, angivelse af standardtilladelser, synkronisering af teams via Active Directory (AD), automatisering af scripting af flere organisationer og tilpasning af politikker til virksomhedens tillids- og kontrolpositioner.
Veje fordele og ulemper ved udrulning af en enkelt i forhold til flere organisationer
Når du strukturerer din virksomhed, er en af de vigtigste beslutninger, om du vil bruge en enkelt organisation eller flere organisationer. Hver tilgang har unikke fordele og afvejninger.
Enkelt organisation
| Fordele | Ulemper |
|---|---|
| Forenklet administration: Centraliseret kontrol af tilladelser og politikker. | Begrænset fleksibilitet: One-size-fits-all-politikker passer muligvis ikke til alle teams. |
| Konsistens: Ensartet anvendelse af regler og strømlinet samarbejde. | Sikkerhedsrisici: Et enkelt brud kan påvirke hele organisationen. |
| Ressourcedeling: Nemmere deling af aktiver på tværs af teams. | Problemer med skalerbarhed: Administration af tilladelser kan blive kompleks i takt med, at organisationen vokser. |
| Omkostningseffektivitet: Reducerede omkostninger i forbindelse med administrative værktøjer og licenser. |
Flere organisationer
| Fordele | Ulemper |
|---|---|
| Tilpassede politikker: Tilpas tilladelser, så de passer til hvert teams specifikke behov. | Øget kompleksitet: Flere organisationer betyder flere administrative omkostninger. |
| Udvidet isolation: Begrænser virkningen af et sikkerhedsbrud til en enkelt organisation. | Redundans: Potentiel duplikering af indstillinger og ledelsesindsats. |
| Decentraliseret administration: Teams kan administrere deres egne politikker og tilladelser. | Inter-Org samarbejde: Kan kræve ekstra værktøjer eller processer til projekter på tværs af organisationer. |
Angivelse af standardlæsning i forhold til standardskrivning på tværs af organisationer
Det er vigtigt at træffe beslutning om standardtilladelsesniveauet for at balancere sikkerhed og samarbejde i din virksomhed.
Standardlæsning vs. standardskrivning
| Standardlæsning | Standardskrivning |
|---|---|
| Udvidet sikkerhed: Minimerer risikoen for utilsigtede ændringer. | Forbedret samarbejde: Giver brugerne mulighed for at bidrage og redigere indhold direkte. |
| Kontrol: Nemmere at overvåge og overvåge ændringer. | Effektivitet: Reducerer flaskehalse i forbindelse med oprettelse og opdateringer af indhold. |
| Bedst til: Miljøer, hvor de fleste brugere kun har brug for at få vist ressourcer. | Risici: Øger risikoen for utilsigtede ændringer eller forkert konfiguration, hvis de ikke administreres omhyggeligt. |
Anbefaling:
Brug en standardmodel for læserettigheder, og tildel skriveadgang selektivt for at sikre overholdelse af princippet om færrest mulige rettigheder.
Teamsynkronisering via Active Directory (AD)
Brug af Active Directory (AD) til teamsynkronisering gør brugerstyring og adgangskontrol nemmere og mere effektiv.
Hvorfor bruge AD-synkronisering?
- En enkelt kilde til sandhed: Holder brugeridentiteterne ensartede på tværs af din organisation.
- Automatiseret adgangsstyring: Strømliner onboarding, offboarding og rolleopdateringer.
- Problemfri rollejustering: Sikrer, at AD-grupper stemmer overens med virksomhedsroller og -tilladelser.
Ting, du skal overveje, før du implementerer
- Rolletilknytning: Definer tydeligt, hvordan AD-grupper skal tilpasses din organisations roller.
- Synkroniseringshyppighed: Angiv en tidsplan, der balancerer ydeevne og sikkerhed.
- Overholdelse & overvågning: Logfør alle ændringer for at opfylde kravene til overholdelse af angivne standarder.
Ved at planlægge fremadrettet kan du sikre en problemfri integration, der holder din organisation sikker og velorganiseret.
Vedligeholdelse: scripting for flere organisationer og adgangsrettigheder
I takt med at din virksomhed skaleres, er det vigtigt for vedligeholdelsen at automatisere administrationen af tilladelser på tværs af flere organisationer.
Nøglepraksis
Dette afsnit fremhæver vigtige fremgangsmåder for scripting og automatisering for at administrere tilladelser konsekvent og sikkert, efterhånden som din virksomhed vokser. At følge disse fremgangsmåder hjælper med at strømline administrationen, minimere manuelle fejl og opretholde en stærk styring.
- Modularitet: Udvikl scripts i modulkomponenter for at håndtere forskellige organisationer med minimale ændringer.
- Genbrugelighed: Opret funktioner eller moduler, der kan genbruges, for at udføre almindelige tilladelsesopgaver.
- Prøvning: Test scripts i et kontrolleret miljø grundigt før udrulningen.
- Logføring: Implementer detaljeret logføring for at spore ændringer og lette fejlfinding.
- Versionskontrol: Brug versionsstyringssystemer (f.eks. Git) til at administrere scriptændringer og samarbejde med teammedlemmer.