참고: Enterprise Managed Users에 대한 OIDC(OpenID Connect) 및 CAP(조건부 액세스 정책) 지원은 Microsoft Entra ID(이전의 Azure AD)만 사용할 수 있습니다.
조건부 액세스 정책에 대한 지원 정보
엔터프라이즈에서 OIDC SSO를 사용하는 경우, GitHub은(는) IdP의 CAP(조건부 액세스 정책) IP 조건을 자동으로 사용하여 구성원이 IP 주소를 변경할 때, 사용자 계정과 관련한 personal access token 또는 SSH 키를 사용한 각 인증에 대하여 상호 작용의 유효성을 검사합니다.
GitHub Enterprise Cloud은(는) OIDC SSO가 설정된 모든 관리형 사용자가 있는 엔터프라이즈에 대해 CAP를 지원합니다. 엔터프라이즈 소유자는 GitHub Enterprise Cloud의 IP 허용 목록 대신 이 IP 허용 목록 구성을 사용하도록 선택할 수 있으며, OIDC SSO가 구성되었을 때 가능합니다. IP 허용 목록에 대한 자세한 내용은 "IP 허용 목록을 사용하여 엔터프라이즈에 대한 네트워크 트래픽 제한" 및 "조직에 허용되는 IP 주소 관리"을(를) 참조하세요.
- GitHub Enterprise Cloud은(는) IdP의 IP 조건을 적용하지만 디바이스 준수 조건은 적용할 수 없습니다.
- 다단계 인증에 대한 정책은 IdP에 로그인할 때만 적용됩니다.
Enterprise Managed Users을(를) 통해 OIDC를 사용하는 방법에 대한 자세한 내용은 "Enterprise Managed Users용 OIDC 구성" 및 "SAML에서 OIDC로 마이그레이션"을(를) 참조하세요.
CAP 및 배포 키 관련 정보
배포 키란 리포지토리에 액세스를 허용하는 SSH 키를 말합니다. 배포 키는 사용자를 대신해 작업을 수행하지 않기 때문에, 배포 키로 인증한 모든 요청에는 CAP IP 조건이 적용되지 않습니다. 자세한 내용은 "배포 키 관리"을(를) 참조하세요.
통합 및 자동화에 대한 고려 사항
GitHub는 CAP에 대한 유효성 검사를 위해 원래 IP 주소를 IdP로 보냅니다. IdP의 CAP에 의해 작업 및 앱이 차단되지 않도록 하려면 구성을 변경해야 합니다.
경고: GitHub Enterprise Importer을(를) 사용하여 GitHub Enterprise Server 인스턴스에서 조직을 마이그레이션하는 경우 Entra ID CAP에서 제외된 서비스 계정을 사용해야 합니다. 그러지 않으면 마이그레이션이 차단될 수 있습니다.
GitHub Actions
IdP의 CAP은 personal access token을(를) 사용하는 동작을 차단할 수 있습니다. 서비스 계정으로 personal access token을(를) 만든 다음 IdP CAP의 IP 제어에서 제외할 것을 권장합니다.
서비스 계정을 사용할 수 없는 경우 personal access token을(를) 사용한 동작의 차단을 해제할 또 다른 방법은 GitHub Actions에서 사용하는 IP 범위를 허용하는 것입니다. 자세한 내용은 "GitHub IP 주소 정보"을(를) 참조하세요.
GitHub Codespaces
엔터프라이즈에서 CAP와 함께 OIDC SSO를 사용하여 IP 주소로 액세스를 제한하는 경우, GitHub Codespaces을(를) 사용이 불가능할 수 있습니다. IdP CAP가 차단할 수도 있는 동적 IP 주소로 codespace를 생성하기 때문입니다. 특정한 정책 설정에 따라 다른 CAP 정책도 GitHub Codespaces 사용에 영향을 줄 수 있습니다.
github.dev 편집기
엔터프라이즈에서 CAP와 함께 OIDC SSO를 사용하여 IP 주소로 액세스를 제한하는 경우 github.dev 편집기를 사용하지 못할 수 있습니다. github.dev에서는 IdP의 CAP가 차단할 수도 있는 동적 IP 주소에 의존하기 때문입니다. 특정한 정책 설정에 따라 다른 CAP 정책도 github.dev 가용성에 영향을 줄 수 있습니다.
GitHub Apps 및 OAuth apps
GitHub Apps 및 OAuth apps이(가) 사용자로 로그인하고 사용자 대신 요청을 보내면 GitHub는 유효성 검사를 위해 앱 서버의 IP 주소를 IdP로 보냅니다. 앱 서버의 IP 주소가 IdP의 CAP에서 유효한 것으로 확인되지 않으면 요청이 실패합니다.
GitHub Apps이(가) 앱 자체로 기능하거나 설치 역할을 하는 GitHub API를 호출하는 경우, 호출은 사용자 대신 수행되지 않습니다. IdP의 CAP는 사용자 계정에 정책을 실행하고 적용하므로 CAP에 대한 애플리케이션 요청의 유효성을 검사할 수 없으며 이러한 요청은 항상 허용됩니다. 자체적으로 또는 설치로 인증하는 GitHub Apps에 대한 자세한 내용은 "GitHub 앱을 사용한 인증 정보"을(를) 참조하세요.
사용하려는 앱의 소유자에게 문의하여 해당 IP 범위를 요청하고, 해당 IP 범위에서 액세스할 수 있도록 IdP의 CAP을 구성할 수 있습니다. 소유자에게 문의할 수 없는 경우 IdP 로그인 로그를 검토하여 요청에 표시된 IP 주소를 검토한 다음, 해당 주소를 허용 목록에 추가할 수 있습니다.
엔터프라이즈의 모든 앱에 모든 IP 범위를 허용하지 않으려면, 설치된 GitHub Apps 및 권한 있는 OAuth apps을(를) IdP 허용 목록에서 제외할 수도 있습니다. 이렇게 하면 원래 IP 주소에 관계없이 앱이 계속 작동합니다. 자세한 내용은 "엔터프라이즈에서 보안 설정에 대한 정책 적용"을(를) 참조하세요.
추가 참고 자료
- Microsoft Leran의 조건부 액세스 정책에서 위치 조건 사용