사용자 ID 및 액세스 관리

  • 4분

인증은 엔터프라이즈의 소프트웨어 개발 에코시스템에 대한 게이트웨이입니다. GitHub와 모든 사용자의 상호 작용은 ID 확인으로 시작됩니다. 개별 계정은 사용자 이름 및 암호를 사용할 수 있지만 강력한 엔터프라이즈 보안은 2FA(2단계 인증) 또는 암호 및 생체 인식 로그인과 같은 고급 방법을 요구합니다. 특히 빠르게 진행되는 개발 환경에서 유용성과 보안의 균형을 맞추는 것이 중요합니다.

GitHub Enterprise의 최신 인증

안전하고 간소화된 인증 환경을 보장하기 위해 GitHub는 ID 관리 시스템과 통합되는 여러 최신 방법을 지원합니다.

패스키 및 웹인증

  • 패스키는 물리적 디바이스에 연결되고 피싱에 강한 암호 없는 로그인 방법입니다.
  • WebAuthn 은 YubiKey와 같은 생체 인식 요소 및 하드웨어 토큰을 지원합니다.
  • 이러한 메서드는 자격 증명 기반 공격을 크게 줄이고 로그인 UX를 개선합니다.

GitHub Mobile for 2FA

사용자는 빠르고 안전한 승인을 위해 푸시 알림을 지원하는 GitHub Mobile을 사용하여 인증할 수 있으며 워크플로를 방해하지 않고 2FA를 향상시킬 수 있습니다.

OAuth 및 GitHub 앱

  • OAuth 앱 은 GitHub의 OAuth 2.0 흐름을 사용하여 사용자를 인증하고 외부 애플리케이션에 범위가 지정된 액세스 권한을 부여합니다.
  • GitHub Apps는 세분화된 사용 권한으로 개별 설치로 인증되며 CI/CD 및 자동화 파이프라인에 적합합니다.

EMU(엔터프라이즈 관리 사용자)

GitHub Enterprise Cloud에서 EMU는 IdP(ID 공급자)를 통해 인증이 엄격하게 수행되도록 합니다. 이 모델:

  • 엔터프라이즈 관리 계정에 대한 액세스만 제한합니다.
  • ID, 자격 증명 및 세션 정책에 대한 중앙 집중식 제어를 적용합니다.

SAML SSO를 사용하여 조직 관리

엔터프라이즈급 인증의 기본 기능 중 하나는 SAML SSO(Single Sign-On)입니다. SAML은 IdP를 GitHub와 연결하여 사용자가 하나의 자격 증명 집합을 사용하여 서비스 간에 로그인할 수 있도록 합니다. GitHub는 IdP를 사용하여 조직 또는 엔터프라이즈 리소스에 대한 액세스 권한을 부여하기 전에 사용자 ID를 확인합니다.

사용자가 GitHub에 로그인하면 속한 기업을 볼 수 있지만 리포지토리 데이터에 액세스하려면 IdP를 통한 SAML 재인증이 필요합니다.

엔터프라이즈 관리자의 책임은 다음과 같습니다.

  • 역할 및 알아야 할 사항에 따라 액세스 권한 부여
  • 사용자 활동 모니터링 및 감사
  • 사용 권한 범위 지정 및 공격에 대한 노출 영역 최소화

관리자 리포지토리 권한 목록 검토 예제의 스크린샷

조직에 SAML SSO를 구성하려면 IdP를 GitHub와 통합합니다. 지원되는 공급자는 다음과 같습니다.

  • AD FS(Active Directory Federation Services)
  • Microsoft Entra ID (마이크로소프트 엔트라 ID)
  • 옥타 주
  • OneLogin
  • PingOne
  • 시보레스 주

참고

GitHub는 SAML 2.0 표준을 구현하는 ID 공급자에 대해 제한된 지원을 제공합니다.

엔터프라이즈 액세스 및 권한 부여 컨트롤

GitHub의 액세스는 강력한 다중 계층 권한 부여 모델에 의해 제어됩니다.

Fine-Grained PAT(개인용 액세스 토큰)

클래식 PAT와 달리 세분화된 PAT:

  • 특정 리포지토리 및 범위에 대한 액세스를 제한합니다.
  • 위험 노출 감소에 대한 자동 만료를 지원합니다.
  • 향상된 추적 기능 및 규정 준수 컨트롤을 제공합니다.

사용자 지정 리포지토리 역할

관리자는 기본 권한 집합 이상으로 확장되는 사용자 지정 역할을 정의할 수 있습니다. 다음을 지원합니다.

  • 고유한 워크플로에 맞게 조정된 위임된 액세스.
  • 중요한 리포지토리에 대한 최소 권한 적용

보안 정책 적용

다음과 같은 전역 보안 제어를 적용할 수 있습니다.

  • 모든 사용자에 대한 필수 2FA 입니다.
  • 승인된 네트워크에 대한 액세스를 제한하는 IP 허용 목록입니다.
  • 명시적으로 승인되지 않은 경우 확인되지 않은 OAuth 앱을 차단합니다.

조직 및 엔터프라이즈 수준 제어

  • 조직 수준 제어에는 기본 역할, 팀 기반 액세스 및 외부 협력자의 관리가 포함됩니다.
  • 엔터프라이즈 수준 거버넌스에는 다음이 포함됩니다.
    • 중앙 집중식 SAML 적용.
    • IdP 기반 로그인 제한.
    • GitHub Enterprise Cloud를 통한 글로벌 정책 적용.

리포지토리 표시 유형 및 내부 액세스

조직 구성원이 리포지토리를 만들 때 공용, 프라이빗 또는 내부 표시 유형 옵션 중에서 선택할 수 있습니다.

  • 공용: 인터넷의 모든 사용자가 사용할 수 있습니다.
  • 비공개: 선택한 사용자로 제한됩니다.
  • 내부: 엔터프라이즈 내의 모든 멤버에 표시되지만 외부 사용자로부터 숨겨집니다.

이 세분성은 소스 코드, 설명서 및 기타 자산이 적절한 관련자와만 공유되도록 합니다.