{"meta":{"title":"Restreindre l'accès à GitHub.com à l'aide d'un proxy d'entreprise","intro":"Configurez votre proxy pour empêcher les personnes d'accéder à GitHub.com avec des comptes personnels.","product":"Administrateurs d’entreprise","breadcrumbs":[{"href":"/fr/enterprise-cloud@latest/admin","title":"Administrateurs d’entreprise"},{"href":"/fr/enterprise-cloud@latest/admin/configuring-settings","title":"Configuration"},{"href":"/fr/enterprise-cloud@latest/admin/configuring-settings/hardening-security-for-your-enterprise","title":"Renforcer la sécurité"},{"href":"/fr/enterprise-cloud@latest/admin/configuring-settings/hardening-security-for-your-enterprise/restricting-access-to-githubcom-using-a-corporate-proxy","title":"Bloquer des comptes personnels"}],"documentType":"article"},"body":"# Restreindre l'accès à GitHub.com à l'aide d'un proxy d'entreprise\n\nConfigurez votre proxy pour empêcher les personnes d'accéder à GitHub.com avec des comptes personnels.\n\nSi vous utilisez Enterprise Managed Users, vous pouvez empêcher les utilisateurs de votre réseau de s'authentifier sur GitHub.com avec des comptes qui ne sont pas membres de votre entreprise. Cela permet de réduire le risque que les données de votre entreprise soient exposées au public.\n\nPour appliquer cette restriction, vous devez configurer votre proxy réseau ou votre pare-feu de manière à injecter un en-tête dans les requêtes web et API de vos utilisateurs à GitHub.com.\n\nCette fonction nécessite un pare-feu externe ou un proxy. Support GitHub ne peut pas aider à l'installation ou au dépannage d'outils externes tels que ceux-ci. Pour en savoir plus sur l'étendue de l'aide, voir [À propos du support GitHub](/fr/enterprise-cloud@latest/support/learning-about-github-support/about-github-support#scope-of-support).\n\n## Activation des restrictions d’accès\n\nCette fonctionnalité n’est pas activée par défaut. Un propriétaire d’entreprise peut activer cette fonctionnalité pour votre entreprise.\n\n1. Accédez à votre entreprise. Par exemple, depuis la page [Entreprises](https://GitHub.com/settings/enterprises?ref_product=ghec\\&ref_type=engagement\\&ref_style=text) sur GitHub.com.\n2. En haut de la page, cliquez sur **Paramètres**.\n3. Sous **Paramètres**, cliquez sur **Sécurité d'authentification**.\n4. Dans la section « Restrictions d’accès de l’entreprise », sélectionnez **Activer les restrictions d’accès de l’entreprise**.\n\n## Prérequis\n\n* Vous devez utiliser un entreprise avec utilisateurs managés sur GitHub.com.\n * Vous saurez que vous utilisez un entreprise avec utilisateurs managés si tous les noms d'utilisateur de vos utilisateurs sont complétés par le shortcode de votre entreprise.\n * Si vous utilisez GitHub Enterprise Cloud avec résidence des données, votre entreprise réside sur un sous-domaine dédié de GHE.com, de sorte que l'en-tête n'est pas nécessaire pour différencier le trafic vers les ressources de votre entreprise.\n* Pour appliquer la restriction, tout le trafic doit passer par un proxy ou un pare-feu. Le proxy ou le pare-feu doit :\n * Être capable d’intercepter et de modifier le trafic, communément appelé un proxy « break and inspect »\n * Prendre en charge l'injection d'en-têtes arbitraires\n* Votre propriétaire d’entreprise a activé cette fonctionnalité.\n\n## Trouver l'en-tête\n\nPour appliquer la restriction, vous injecterez un en-tête dans tout le trafic à destination de certains points de terminaison pris en charge. L'en-tête se présente sous la forme suivante.\n\n```text\nsec-GitHub-allowed-enterprise: ENTERPRISE-ID\n```\n\nUn propriétaire d'entreprise peut identifier l'ID d'entreprise correct à utiliser dans l'en-tête pour son entreprise.\n\n1. Accédez à votre entreprise. Par exemple, depuis la page [Entreprises](https://GitHub.com/settings/enterprises?ref_product=ghec\\&ref_type=engagement\\&ref_style=text) sur GitHub.com.\n2. En haut de la page, cliquez sur **Paramètres**.\n3. Sous **Paramètres**, cliquez sur **Sécurité d'authentification**.\n4. Dans la section « Restrictions d'accès de l'entreprise », recherchez l'en-tête de votre entreprise.\n\n## Utilisation de l’en-tête\n\nPour obtenir de meilleurs résultats, configurez votre proxy pour injecter l’en-tête dans tout le trafic vers les points de terminaison **pris en charge suivants**.\n\n| Point de terminaison | Objectif |\n| --------------------- | ----------------------------------------------------------- |\n| `github.com/*` | Trafic Internet vers GitHub.com |\n| `api.github.com/*` | Demandes d'API REST et GraphQL |\n| `*.githubcopilot.com` | Trafic requis pour certaines fonctionnalités GitHub Copilot |\n\nCela empêchera les personnes de votre réseau d'accéder à ces terminaux avec des comptes d'utilisateur qui n'appartiennent pas à votre entreprise. Parallèlement à cette fonction, vous pouvez bloquer le trafic provenant de l'extérieur de votre réseau en établissant une liste d'adresses IP autorisées. Consultez [Restriction du trafic réseau vers votre entreprise avec une liste d’adresses IP autorisées](/fr/enterprise-cloud@latest/admin/configuring-settings/hardening-security-for-your-enterprise/restricting-network-traffic-to-your-enterprise-with-an-ip-allow-list).\n\n> \\[!NOTE] Accès à `github.com/login` est nécessaire pour créer des tickets d'assistance. Pour que les utilisateurs ayant des droits d'assistance puissent demander de l'aide, vous pouvez les exempter de la restriction.\n\n## Activation des restrictions d’accès pour plusieurs entreprises\n\nLes propriétaires d’entreprise peuvent appliquer la restriction sur plusieurs comptes d’entreprise.\n\n1. Activez la fonctionnalité pour chaque compte d’entreprise. Consultez [l’activation des restrictions d’accès](#enabling-access-restrictions).\n2. Injectez un en-tête dans tout le trafic accédant à certains points de terminaison pris en charge. L'en-tête se présente sous la forme suivante.\n\n```text\nsec-GitHub-allowed-enterprise: ENTERPRISE1-ID, ENTERPRISE2-ID, ENTERPRISE3-ID ... ENTERPRISE20-ID.\n```\n\nLes propriétaires d’entreprise peuvent trouver l’ID d’entreprise approprié à utiliser dans l’en-tête de chacune des entreprises. Consultez [Trouver l’en-tête](#finding-the-header).\n\n> \\[!NOTE] Nous prenons actuellement en charge jusqu’à 20 ID d’entreprise uniques à inclure dans l’en-tête.\n\n### Lever la restriction pour certains utilisateurs\n\nIl se peut que vous souhaitiez lever cette restriction pour certains utilisateurs qui doivent contribuer à des ressources open source à l'aide d'un compte personnel, ou qui doivent créer des tickets d'assistance en cas de problème. Pour y remédier, vous devez configurer votre réseau de manière à n'injecter l'en-tête que pour les utilisateurs que vous souhaitez restreindre.\n\nOptions disponibles :\n\n* **séparation des réseaux** : Créer un réseau « professionnel » qui injecte l'en-tête et un réseau « open source » qui ne l'injecte pas. Limiter l'accès au réseau « open source » aux utilisateurs qui en ont besoin.\n* **regroupement d’appareils**: si votre proxy ou pare-feu est authentifié, vous pouvez collecter un groupe d’utilisateurs qui n’ont pas besoin de l’en-tête et les exclure de l’injection de manière sélective.\n\n## Fonctionnalités non prises en charge\n\nÉtant donné que cette restriction ne s'applique qu'aux demandes envoyées via un proxy qui ajoute un en-tête d'entreprise, certaines fonctionnalités GitHub ne prennent pas en charge la restriction visant à empêcher les utilisateurs d'accéder à leurs comptes personnels ou de les utiliser. Pour empêcher les utilisateurs de votre réseau d’accéder à ces fonctionnalités, vous devez apporter les modifications décrites ci-dessous.\n\n| Fonctionnalité | Point de terminaison associé | Notes |\n| ------------------------- | ---------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| GitHub Pages | `github.io` | Il s’agit généralement de contenu généré par l’utilisateur qui ne peut pas accepter les données. Vous ne souhaiterez peut-être pas restreindre l’accès. |\n| GitHub Codespaces | `github.dev` | Pour restreindre l’accès, bloquez entièrement le point de terminaison. |\n| Accès SSH | Port 22 sur GitHub.com | Pour restreindre l’accès, bloquez entièrement le point de terminaison. |\n| SSH sur HTTPS | `ssh.github.com` | Pour restreindre l’accès, bloquez entièrement le point de terminaison. |\n| GitHub : runners hébergés | Divers | Pour appliquer un routage spécifique, utilisez la mise en réseau privée Azure. Consultez [À propos de la mise en réseau privée Azure pour les agents hébergés par GitHub dans votre entreprise](/fr/enterprise-cloud@latest/admin/configuring-settings/configuring-private-networking-for-hosted-compute-products/about-azure-private-networking-for-github-hosted-runners-in-your-enterprise). |\n| Exécuteurs auto-hébergés | Divers | Pour appliquer un routage spécifique, utilisez un serveur proxy. Consultez [Utilisation de serveurs proxy avec un exécuteur](/fr/enterprise-cloud@latest/actions/how-tos/manage-runners/self-hosted-runners/use-proxy-servers). |\n\n### Points de terminaison qui ne nécessitent pas de restriction\n\nLes points de terminaison suivants ne prennent pas en charge ni ne nécessitent la restriction, car ils fournissent uniquement des données et ne l’acceptent pas.\n\n* `*.githubusercontent.com`\n* `*.githubassets.com`\n* Trafic WebSocket sur GitHub.com\n\n## Comment fonctionne la restriction ?\n\nPour le trafic qui inclut l'en-tête de l'entreprise, lorsqu'un utilisateur tente d'accéder à GitHub.com via le web, Git ou API en utilisant un compte d'utilisateur (ou un jeton associé à un compte d'utilisateur) qui n'est pas membre de l'entreprise :\n\n* L’utilisateur voit un message d’erreur avec un code d’état `403` . Consultez [Erreurs affichées pour les utilisateurs bloqués](#errors-displayed-to-blocked-users).\n* Un événement `business.proxy_security_header_unsatisfied` sera journalisé dans les journaux d’audit d’entreprise. Ces événements de journal n’ont aucun champ `actor` en raison de raisons de confidentialité, mais ont un champ `actor_ip` s’ils sont activés (voir [Affichage des adresses IP dans le journal d’audit de votre entreprise](/fr/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/displaying-ip-addresses-in-the-audit-log-for-your-enterprise)). Pour examiner ces événements plus loin, vous pouvez passer en revue les journaux de proxy dans votre environnement.\n\nLes sections suivantes fournissent des détails sur le comportement attendu qui s’applique aux demandes d’API et d’activité web de vos utilisateurs.\n\n### Activité web\n\nPour l’activité dans les GitHub.com interface utilisateur, l’en-tête restreint les comptes auxquels un utilisateur peut se connecter.\n\nSur votre réseau, un utilisateur :\n\n* **Peut** se connecter à un compte d’utilisateur managé dans votre entreprise.\n* **Impossible de** se connecter à un compte en dehors de votre entreprise.\n* **Impossible de** utiliser le sélecteur de compte pour basculer vers un compte en dehors de votre entreprise.\n\nSi un utilisateur est déjà connecté à un compte en dehors de votre entreprise (par exemple, il s'est connecté en dehors de votre réseau), lorsqu'il ramène son appareil dans votre réseau, il recevra une erreur et ne pourra pas accéder à GitHub.com jusqu'à ce qu'il se connecte avec son compte appartenant à l'entreprise.\n\n### Activité Git\n\nSi votre proxy est configuré pour injecter l'en-tête dans les requêtes HTTP(S), les utilisateurs de votre réseau ne pourront pas s'authentifier auprès de GitHub.com via HTTP(S), à moins qu'ils ne soient membres de votre entreprise. Les demandes de lecture publiques ne sont pas bloquées pour les utilisateurs anonymes non authentifiés.\n\nVous ne pouvez pas utiliser l’en-tête d’entreprise pour restreindre l’activité Git via SSH. Au lieu de cela, vous pouvez choisir de bloquer entièrement le port pour les requêtes SSH. Voir [Fonctionnalités non prises en charge](#unsupported-features).\n\n### Demandes d’API\n\nPour le trafic des API REST et GraphQL vers api.github.com, y compris les demandes via GitHub CLI, l'en-tête restreint l'utilisation des jetons d'accès lorsque les utilisateurs sont connectés à votre réseau.\n\n| Scénario | Résultat | Types de jetons concernés |\n| --------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------- | ------------------------- |\n| Un utilisateur utilise un personal access token associé à un compte appartenant à votre entreprise. | Le personal access token fonctionne comme prévu dans les requêtes API. | |\n\n```\n `ghp_` et `github_pat_` |\n```\n\n\\| Alors qu'il est connecté à votre réseau, un utilisateur tente d'utiliser un personal access token associé à un utilisateur extérieur à votre entreprise. | Les demandes utilisant le jeton sont bloquées. |\n`ghp_` et `github_pat_` |\n\\| En dehors de votre réseau, à l'aide d'un compte extérieur à votre entreprise, un utilisateur se connecte à une application OAuth qui fonctionne sur son appareil. L’utilisateur amène ensuite son appareil à l’intérieur de votre réseau. | Les jetons OAuth de l’application arrêtent de fonctionner. | `gho_` |\n\\| En dehors de votre réseau, à l'aide d'un compte extérieur à votre entreprise, un utilisateur se connecte à une GitHub App qui s'exécute sur son appareil. L’utilisateur amène ensuite son appareil à l’intérieur de votre réseau. | Les jetons de l’application arrêtent de fonctionner. | `ghu_` |\n\\| Lorsqu'elle est connectée à votre réseau, une application tente de rafraîchir une session pour un utilisateur extérieur à votre entreprise à l'aide d'un jeton de rafraîchissement GitHub App. | L'actualisation échoue. | `ghr_` |\n\\| Lors de la connexion à votre réseau, une application tente d’obtenir un jeton d’installation (un jeton sans identité utilisateur, simplement l’identité de l’application) pour une organisation en dehors de votre entreprise. | Le jeton ne fonctionnera pas. | `ghs_` |\n\n## Erreurs affichées aux utilisateurs bloqués\n\nLes erreurs sont affichées aux utilisateurs lorsque la restriction fonctionne comme prévu. Des erreurs se produisent dans les situations suivantes :\n\n* **activité web** : lorsqu’un utilisateur est bloqué de se connecter ou d’utiliser une session obsolète existante.\n* **activité d’API** : lorsqu’un utilisateur tente d’utiliser un jeton associé à un utilisateur en dehors de l’entreprise.\n* **jeton d’installation :** Quand une application tente d’utiliser un jeton d’installation pour accéder à une organisation ou un compte d’utilisateur en dehors de l’entreprise. Pour les installations, seules les demandes d’écriture sont bloquées. Les demandes de lecture ne sont pas bloquées sur les ressources en dehors de l’entreprise. Pour en savoir plus sur les jetons d’installation, consultez [Authentification en tant qu’installation d’application GitHub](/fr/enterprise-cloud@latest/apps/creating-github-apps/authenticating-with-a-github-app/authenticating-as-a-github-app-installation).\n\n| Scénario | Code d’erreur | Message |\n| -------------------- | ------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| Activité web | 403 | Votre administrateur réseau a bloqué l'accès à GitHub sauf pour `ENTERPRISE` Enterprise. Connectez-vous avec votre compte `_SHORTCODE` pour accéder à GitHub. |\n| Activité de l'API | 403 | Votre administrateur réseau a bloqué l'accès à GitHub sauf pour `ENTERPRISE` Enterprise. Veuillez utiliser un jeton pour un utilisateur de l'entreprise `_SHORTCODE` pour accéder à GitHub. |\n| Jeton d'installation | 403 | Votre administrateur réseau a bloqué l'accès à GitHub sauf pour `ENTERPRISE` Enterprise. Seuls les jetons de l'entreprise « `SHORTCODE` » peuvent accéder à GitHub. |\n\nLes erreurs avec un code `400` indiquent une erreur dans votre configuration. Consultez la rubrique [Résolution des problèmes](#troubleshooting).\n\n## Exemple de test localement\n\nVous pouvez tester votre configuration réseau localement à l’aide d’un outil de débogage web. Cette section présente un exemple d'utilisation de [Fiddler](https://www.telerik.com/fiddler). Notez que Fiddler et d’autres outils de débogage externe ne sont **pas** dans l’étendue des Support GitHub.\n\nDans l’exemple suivant, vous allez ajouter un certain FiddlerScript à exécuter sur chaque requête.\n\n1. Installez [Fiddler](https://www.telerik.com/fiddler).\n\n2. Configurez Fiddler pour déchiffrer le trafic HTTPS. Consultez la documentation [Fiddler](https://docs.telerik.com/fiddler/configure-fiddler/tasks/decrypthttps).\n\n3. Dans Fiddler, accédez à l’onglet « FiddlerScript » et ajoutez le code suivant à la fonction `OnBeforeRequest` . Définissez la variable `enterpriseId` sur votre propre ID d’entreprise.\n\n ```javascript copy\n // Your enterprise id\n var enterpriseId: String = \"YOUR-ID\";\n\n //Inject on the web UI\n if (oSession.HostnameIs(\"github.com\")){\n oSession.oRequest.headers.Add(\"sec-GitHub-allowed-enterprise\",enterpriseId)\n oSession[\"ui-color\"] = \"green\";\n }\n\n // Inject on API calls\n if (oSession.HostnameIs(\"api.github.com\")){\n oSession.oRequest.headers.Add(\"sec-GitHub-allowed-enterprise\",enterpriseId)\n oSession[\"ui-color\"] = \"blue\";\n }\n\n // Inject on Copilot API calls\n if (oSession.HostnameIs(\"githubcopilot.com\")){\n oSession.oRequest.headers.Add(\"sec-GitHub-allowed-enterprise\",enterpriseId)\n oSession[\"ui-color\"] = \"yellow\";\n }\n ```\n\n4. Cliquez sur **Enregistrer le script**.\n\nL’en-tête est désormais injecté pour chacun des domaines spécifiés pendant que la capture de paquets est active. Pour activer ou désactiver l’injection, vous pouvez activer ou désactiver la capture de paquets en cliquant sur **Fichier** > **Capturer le trafic**.\n\nVous pouvez activer et désactiver cette injection pour simuler la connexion avec un compte non autorisé, puis entrer le réseau, ou essayer de se connecter à un compte non autorisé pendant qu’il est sur le réseau.\n\n## Dépannage\n\nSi votre injection d’en-tête ne fonctionne pas comme prévu, vous verrez des erreurs avec un code `400` lorsque vous essayez d’utiliser des points de terminaison affectés. Elles sont distinctes des erreurs `403` affichées lorsque la fonctionnalité fonctionne comme prévu (voir [Erreurs affichées pour les utilisateurs bloqués](#errors-displayed-to-blocked-users)).\n\nEn général, `400` des erreurs se produisent dans les situations suivantes.\n\n* L’en-tête utilise un slug non valide ou un identifiant d’entreprise.\n* L’en-tête répertorie plusieurs entreprises.\n* La requête contient plusieurs en-têtes `sec-GitHub-allowed-enterprise` .\n\n| Scénario | Code d’erreur | Message |\n| ------------------------------ | ------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| Slug ou identifiant non valide | 400 | L’entreprise nommée dans l’en-tête `sec-GitHub-allowed-enterprise` est introuvable. Assurez-vous que le « slug d'entreprise » est correctement saisi dans les paramètres du pare-feu ou du proxy. Contactez votre administrateur réseau si cette erreur persiste. |\n| Plusieurs entreprises | 400 | Une seule entreprise peut être utilisée avec l’en-tête `sec-GitHub-allowed-enterprise` . Assurez-vous qu’un seul identifiant d’entreprise et un seul en-tête sont fournis. Si le problème persiste, contactez votre administrateur réseau |\n| En-têtes multiples | 400 | Plus d'un `sec-GitHub-allowed-enterprise` a été reçu. Cet en-tête doit être écrasé par le pare-feu ou le proxy, afin de s'assurer qu'une seule entreprise se voit accorder l'accès. Si le problème persiste, contactez votre administrateur réseau. |\n\n## Pour approfondir\n\n* [Gestion de GitHub access Copilot sur le réseau de votre organisation](/fr/enterprise-cloud@latest/copilot/managing-copilot/managing-github-copilot-in-your-organization/managing-access-to-github-copilot-in-your-organization/managing-github-copilot-access-to-your-organizations-network#configuring-copilot-subscription-based-network-routing-for-your-organization)"}