Verwalten von Zugriff, Berechtigungen und Governance für das Unternehmen
In der vorherigen Lektion haben Sie untersucht, wie Repository- und Teamberechtigungen in GitHub funktionieren und wie Benutzern Auf diesen Ebenen Zugriff gewährt wird. In dieser Lektion erfahren Sie, wie Sie Berechtigungen und den Zugriff in einem breiteren Maßstab für Organisationen und Unternehmen verwalten:
- Organisationsberechtigungen
- Unternehmensberechtigungen
- Interne und externe Mitarbeiter
- Strategien für minimale Zugriffsrechte
- Bewährte Methoden für Sicherheit und Governance
Berechtigungsstufen der Organisation
GitHub-Organisationen bieten teams eine zentrale Möglichkeit, an Projekten zusammenzuarbeiten und gleichzeitig kontrollierten Zugriff auf Repositorys und vertrauliche Daten aufrechtzuerhalten. Organisationsberechtigungen bestimmen, welche Mitglieder und Teams innerhalb der Organisation ausführen können, um sicherzustellen, dass jeder Benutzer über die entsprechende Zugriffsebene verfügt.
Es gibt mehrere Berechtigungsebenen auf Organisationsebene:
| Berechtigungsstufe | Beschreibung |
|---|---|
| Besitzer | Organisationsbesitzer können alles tun, was Organisationsmitglieder tun können, und sie können andere Benutzer zu und aus der Organisation hinzufügen oder daraus entfernen. Diese Rolle sollte auf nicht weniger als zwei Personen in Ihrer Organisation beschränkt sein. |
| Mitglied | Organisationsmitglieder können Organisationsrepositorys und -teams erstellen und verwalten. |
| Moderierende Person | Organisationsmoderatoren können Nicht-Mitglied-Beitragende blockieren und wieder freigeben, Interaktionsgrenzwerte festlegen und Kommentare in öffentlichen Repositorys, die die Organisation besitzt, ausblenden. |
| Abrechnungsmanager | Rechnungsverwalter der Organisation können Abrechnungsinformationen anzeigen und bearbeiten. |
| Sicherheitsmanager | Sicherheitsmanager der Organisation können Sicherheitswarnungen und -einstellungen in Ihrer Organisation verwalten. Sie können auch die Berechtigungen für alle Repositories in der Organisation einsehen. |
| Externe Mitarbeiter | Externe Mitarbeiter, z. B. berater oder temporäre Mitarbeiter, können auf ein oder mehrere Organisationsrepositorys zugreifen. Sie sind keine expliziten Mitglieder der Organisation. |
Zusätzlich zu diesen Ebenen können Sie auch Standardberechtigungen für alle Mitglieder Ihrer Organisation festlegen:
Für eine verbesserte Verwaltung und Sicherheit können Sie auch erwägen, allen Mitgliedern Ihrer Organisation Standardmäßige Leseberechtigungen zu erteilen und deren Zugriff auf Repositorys auf Fall-für-Fall-Basis anzupassen. Wenn Sie über eine relativ kleine Organisation mit einer geringen Anzahl von Benutzern, einer geringen Anzahl von Repositorys oder einer Kombination der beiden verfügen, kann diese Einschränkungsstufe unnötig sein. Wenn Sie allen Benutzern vertrauen, dass Änderungen an ein Beliebiges Repository übertragen werden, sollten Sie allen Mitgliedern standardmäßig Schreibberechtigungen erteilen.
Enterprise-Berechtigungsstufen
Erinnern Sie sich von früher daran, dass Unternehmenskonten Sammlungen von Organisationen sind. Durch die Erweiterung ist jedes einzelne Benutzerkonto, das Mitglied einer Organisation ist, auch Mitglied des Unternehmens. Sie können verschiedene Einstellungen im Zusammenhang mit der Authentifizierung von dieser höheren Ebene aus steuern.
Es gibt drei Berechtigungsstufen auf Unternehmensebene:
| Berechtigungsstufe | Beschreibung |
|---|---|
| Besitzer | Unternehmensbesitzer haben die vollständige Kontrolle über das Unternehmen und können jede Aktion ausführen, einschließlich: – Verwalten von Administratoren. – Hinzufügen und Entfernen von Organisationen zu und aus dem Unternehmen. – Verwalten von Unternehmenseinstellungen. – Erzwingen von Richtlinien in allen Organisationen. – Verwalten von Abrechnungseinstellungen. |
| Mitglied | Enterprise-Mitglieder verfügen über die gleichen Fähigkeiten wie Organisationsmitglieder. |
| Abrechnungsmanager | Enterprise-Abrechnungsmanager können die Abrechnungsinformationen Ihres Unternehmens nur anzeigen und bearbeiten und andere Abrechnungsmanager hinzufügen oder entfernen. |
| Gastmitarbeiter | Kann Zugriff auf Repositorys oder Organisationen gewährt werden, hat jedoch standardmäßig eingeschränkten Zugriff (nur unternehmensverwaltete Benutzer) |
Zusätzlich zu diesen drei Ebenen können Sie auch eine Richtlinie der Standard-Repositoryberechtigungen für alle Ihre Organisationen festlegen:
Um die Verwaltung und Sicherheit zu verbessern, können Sie allen Mitgliedern Ihres Unternehmens standardmäßig Leseberechtigungen erteilen und deren Zugriff auf Repositorys auf Fallbasis anpassen. In einem kleineren Unternehmen, z. B. einem mit einer einzigen, relativ kleinen Organisation, könnten Sie bevorzugen, allen Mitgliedern standardmäßig Schreibberechtigungen zu vertrauen.
So optimieren Sie die Zugriffssteuerung im Unternehmensmaßstab weiter:
- Verschachtelte Teams: Unternehmenskonten können verschachtelte Teamstrukturen verwenden, um Abteilungshierarchien widerzuspiegeln. Die Berechtigungen eines übergeordneten Teams werden an untergeordnete Teams übertragen, was die komplexe Zugriffsverwaltung vereinfacht.
- Automatisierung und Überwachung: Sie können die GitHub-API oder GitHub-Aktionen verwenden, um die Teamerstellung und Berechtigungszuweisungen zu automatisieren und den Zugriff über Organisations- oder Unternehmensüberwachungsprotokolle zu überwachen.
Unternehmensberechtigungen und -richtlinien über "Ruleset"
In diesem Abschnitt wird beschrieben, wie Unternehmensberechtigungen und -richtlinien über Regelets verwaltet werden. Wir untersuchen bewährte Methoden zum Strukturieren von Organisationen, Festlegen von Standardberechtigungen, Synchronisieren von Teams über Active Directory (AD), Automatisieren von Skripts für mehrere Organisationen und Ausrichten von Richtlinien an die Vertrauens- und Kontrollpositionen Ihres Unternehmens.
Abwägung der Vor- und Nachteile der Bereitstellung einer einzelnen Organisation oder mehrerer Organisationen
Bei der Strukturierung Ihres Unternehmens ist eine der wichtigsten Entscheidungen, ob eine einzelne Organisation oder mehrere Organisationen verwendet werden soll. Jeder Ansatz hat einzigartige Vorteile und Kompromisse.
Einzelne Organisation
| Vorteile | Nachteile |
|---|---|
| Vereinfachte Verwaltung: Zentrale Steuerung von Berechtigungen und Richtlinien. | Begrenzte Flexibilität: One-size-fits-all-Richtlinien passen möglicherweise nicht zu allen Teams. |
| Konsistenz: Einheitliche Anwendung von Regeln und optimierte Zusammenarbeit. | Sicherheitsrisiken: Eine einzelne Verletzung könnte sich auf die gesamte Organisation auswirken. |
| Ressourcenfreigabe: Einfachere Freigabe von Ressourcen in Teams. | Skalierbarkeitsprobleme: Das Verwalten von Berechtigungen kann komplex werden, wenn die Organisation wächst. |
| Kosteneffizienz: Geringerer Aufwand bei verwaltungstechnischen Tools und Lizenzierungen. |
Mehrere Organisationen
| Vorteile | Nachteile |
|---|---|
| Maßgeschneiderte Richtlinien: Passen Sie Die Berechtigungen an die spezifischen Anforderungen jedes Teams an. | Erhöhte Komplexität: Mehr Organisationen bedeuten mehr Verwaltungsaufwand. |
| Erweiterte Isolation: Beschränkt die Auswirkungen einer Sicherheitsverletzung auf eine einzelne Organisation. | Redundanz: Mögliche Duplizierung von Einstellungen und Verwaltungsbemühungen. |
| Dezentrale Verwaltung: Teams können ihre eigenen Richtlinien und Berechtigungen verwalten. | Inter-Org Zusammenarbeit: Möglicherweise sind zusätzliche Tools oder Prozesse für organisationsübergreifende Projekte erforderlich. |
Festlegen von Lesen als Standard im Vergleich zu Schreiben als Standard für mehrere Organisationen
Die Entscheidung über die Standardberechtigungsstufe ist wichtig, um die Sicherheit und Zusammenarbeit in Ihrem Unternehmen zu ausgleichen.
Lesen als Standard im Vergleich mit Schreiben als Standard
| Lesen als Standard | Schreiben als Standard |
|---|---|
| Erweiterte Sicherheit: Minimiert das Risiko unbeabsichtigter Änderungen. | Verbesserte Zusammenarbeit: Ermöglicht Benutzern, inhalte direkt beizutragen und zu ändern. |
| Kontrolle: Einfachere Prüfung und Überwachung von Änderungen. | Effizienz: Verringert Engpässe bei der Erstellung und Aktualisierung von Inhalten. |
| Am besten geeignet für: Umgebungen, in denen die Mehrzahl der Benutzer nur Ressourcen anzeigen muss. | Risiken: Erhöht die Wahrscheinlichkeit von versehentlichen Änderungen oder Fehlkonfigurationen, wenn sie nicht sorgfältig verwaltet werden. |
Empfehlung:
Verwenden Sie ein Standardmäßiges Leseberechtigungsmodell, und gewähren Sie selektiv Schreibzugriff, um die Einhaltung des Prinzips der geringsten Rechte sicherzustellen.
Teamsynchronisierung über Active Directory (AD)
Die Verwendung von Active Directory (AD) für die Teamsynchronisierung macht die Benutzerverwaltung und Zugriffssteuerung einfacher und effizienter.
Warum AD-Synchronisierung verwenden?
- Einzige Quelle der Wahrheit: Hält Benutzeridentitäten in Ihrer Organisation konsistent.
- Automatisierte Zugriffsverwaltung: Optimiert das Onboarding, Offboarding und Rollenupdates.
- Nahtlose Rollenausrichtung: Stellt sicher, dass AD-Gruppen Unternehmensrollen und -berechtigungen entsprechen.
Dinge, die Sie vor der Implementierung berücksichtigen sollten
- Rollenzuordnung: Definieren Sie eindeutig, wie AD-Gruppen den Rollen Ihrer Organisation entsprechen.
- Synchronisierungshäufigkeit: Legen Sie einen Zeitplan fest, der die Leistung und Sicherheit ausgleicht.
- Compliance & Überwachung: Protokollieren Sie alle Änderungen, um die Complianceanforderungen zu erfüllen.
Durch die Planung im Voraus können Sie eine reibungslose Integration sicherstellen, die Ihre Organisation sicher und gut organisiert hält.
Wartbarkeit: Skripting für mehrere Organisationen und Zugriffsrechte
Da Ihr Unternehmen skaliert, ist die Automatisierung der Verwaltung von Berechtigungen in mehreren Organisationen unerlässlich, um die Wartung zu gewährleisten.
Wichtige Methoden
In diesem Abschnitt werden wichtige Methoden für Skripts und Automatisierung zum konsistenten und sicheren Verwalten von Berechtigungen beschrieben, während Ihr Unternehmen wächst. Wenn Sie diese Methoden ausführen, können Sie die Verwaltung optimieren, manuelle Fehler minimieren und eine starke Governance beibehalten.
- Modularität: Entwickeln Sie Skripts in modularen Komponenten, um verschiedene Organisationen mit minimalen Änderungen zu verarbeiten.
- Wiederverwendbarkeit: Erstellen Sie wiederverwendbare Funktionen oder Module, um allgemeine Berechtigungsaufgaben auszuführen.
- Testen: Testen Sie Skripts in einer kontrollierten Umgebung vor der Bereitstellung gründlich.
- Protokollierung: Implementieren Sie detaillierte Protokollierung, um Änderungen nachzuverfolgen und die Problembehandlung zu erleichtern.
- Versionskontrolle: Verwenden Sie Versionssteuerungssysteme (z. B. Git), um Skriptrevisionen zu verwalten und mit Teammitgliedern zusammenzuarbeiten.