{"meta":{"title":"使用公司代理限制对 GitHub.com 的访问","intro":"将代理配置为阻止人员使用个人帐户访问 GitHub.com。","product":"企业管理员","breadcrumbs":[{"href":"/zh/enterprise-cloud@latest/admin","title":"企业管理员"},{"href":"/zh/enterprise-cloud@latest/admin/configuring-settings","title":"配置"},{"href":"/zh/enterprise-cloud@latest/admin/configuring-settings/hardening-security-for-your-enterprise","title":"强化安全性"},{"href":"/zh/enterprise-cloud@latest/admin/configuring-settings/hardening-security-for-your-enterprise/restricting-access-to-githubcom-using-a-corporate-proxy","title":"阻止个人帐户"}],"documentType":"article"},"body":"# 使用公司代理限制对 GitHub.com 的访问\n\n将代理配置为阻止人员使用个人帐户访问 GitHub.com。\n\n如果你使用 Enterprise Managed Users，则可以阻止你的网络上的用户使用非企业成员的帐户向 GitHub.com 进行身份验证。这有助于降低公司数据暴露给公众的风险。\n\n若要强制实施此限制，可将网络代理或防火墙配置为将标头注入到用户对 GitHub.com 的 Web 和 API 请求中。\n\n此功能需要一个外部防火墙或代理。 GitHub 支持无法协助对此类外部工具进行设置或故障排除。有关支持范围的详细信息，请参阅“[关于GitHub支持](/zh/enterprise-cloud@latest/support/learning-about-github-support/about-github-support#scope-of-support)”。\n\n## 启用访问限制\n\n此功能默认未启用。企业所有者可以为企业启用该功能。\n\n1. 导航到您的企业。例如，从 GitHub.com 上的 [公司](https://github.com/settings/enterprises?ref_product=ghec\\&ref_type=engagement\\&ref_style=text) 页面。\n2. 在页面顶部，单击 “Settings”\\*\\*\\*\\*\\*\\*\\*\\*。\n3. 在 “设置”下，单击“身份验证安全”\\*\\*\\*\\*\\*\\*\\*\\*。\n4. 在“企业访问限制”部分，选择“启用企业访问限制”。\n\n## 先决条件\n\n* 必须在具有托管用户的企业上使用 GitHub.com。\n * 如果所有用户的用户名都附加了你的企业短代码，则说明你正在使用具有托管用户的企业。\n * 如果你使用带有数据驻留权的 GitHub Enterprise Cloud，则你的企业驻留在 GHE.com 的专用子域上，因此不需要标头来区分流向企业资源的流量。\n* 若要强制实施该限制，所有流量都必须流经一个代理或防火墙。该代理或防火墙必须：\n * 能够拦截和编辑流量，通常称为“中断并检查”代理\n * 支持任意标头注入\n* 你的企业所有者已启用此功能。\n\n## 查找标头\n\n若要强制实施该限制，可将一个标头注入到所有流向特定受支持的终结点的流量中。该标头采用以下格式。\n\n```text\nsec-GitHub-allowed-enterprise: ENTERPRISE-ID\n```\n\n企业所有者可以确定要在你的企业的标头中使用的正确企业 ID。\n\n1. 导航到您的企业。例如，从 GitHub.com 上的 [公司](https://github.com/settings/enterprises?ref_product=ghec\\&ref_type=engagement\\&ref_style=text) 页面。\n2. 在页面顶部，单击 “Settings”\\*\\*\\*\\*\\*\\*\\*\\*。\n3. 在 “设置”下，单击“身份验证安全”\\*\\*\\*\\*\\*\\*\\*\\*。\n4. 在“企业访问限制”部分，查找您企业的标题。\n\n## 使用标头\n\n为获得最佳结果，请将代理配置为将该标头注入到所有流向以下受支持的终结点的流量中\\*\\*\\*\\*。\n\n| 终结点 | 用途 |\n| --------------------- | ------------------------- |\n| `github.com/*` | 流向 GitHub.com 的 Web 流量 |\n| `api.github.com/*` | REST 和 GraphQL API 请求 |\n| `*.githubcopilot.com` | 特定 GitHub Copilot 功能所需的流量 |\n\n这将阻止你的网络上的人员使用不为你的企业所拥有的用户帐户访问这些终结点。除了此功能之外，你还可以通过设置 IP 允许列表来阻止来自你的网络外的流量。请参阅“[使用 IP 允许列表限制企业网络的流入流量](/zh/enterprise-cloud@latest/admin/configuring-settings/hardening-security-for-your-enterprise/restricting-network-traffic-to-your-enterprise-with-an-ip-allow-list)”。\n\n> \\[!NOTE] 创建支持票证需要对 `github.com/login` 的访问权限。若要确保拥有支持权利的用户可以请求帮助，你可能希望免除这些用户的限制。\n\n## 为多个企业启用访问限制\n\n企业所有者可以跨多个企业帐户强制实施限制。\n\n1. 为每个企业帐户启用该功能。请参阅 [“启用访问限制](#enabling-access-restrictions)”。\n2. 将标头注入到发往某些受支持终结点的所有流量中。该标头采用以下格式。\n\n```text\nsec-GitHub-allowed-enterprise: ENTERPRISE1-ID, ENTERPRISE2-ID, ENTERPRISE3-ID ... ENTERPRISE20-ID.\n```\n\n企业所有者可以为每个企业找到要在标头中使用的正确企业 ID。请参阅 [“查找标头](#finding-the-header)”。\n\n> \\[!NOTE] 我们目前支持标头中最多包含 20 个唯一企业 ID。\n\n### 取消对特定用户的限制\n\n你可能希望取消对特定用户的限制，这些用户需要使用个人帐户为开放源代码资源做出贡献，或者在出现问题时可能需要创建支持票证。若要处理此问题，必须将网络配置为仅为要限制的用户注入该标头。\n\n选项包括：\n\n* 网络隔离：创建一个注入标头的“工作”网络，以及一个不注入标头的“开放源代码”网络\\*\\*\\*\\*。将对“开放源代码”网络的访问权限限制在需要它的用户。\n* 设备分组：如果代理或防火墙已经过身份验证，则你可以收集一组不需要标头的用户，并有选择地将他们排除在注入之外\\*\\*\\*\\*。\n\n## 不支持的功能\n\n由于此限制仅适用于通过添加企业标头的代理发送的请求，因此特定 GitHub 功能不支持阻止用户访问或使用其个人帐户的限制。若要阻止网络上的用户访问这些功能，需要进行下面所述的更改。\n\n| 功能 | 关联的终结点 | 备注 |\n| ----------------- | ------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |\n| GitHub Pages | `github.io` | 这通常是用户生成的无法接受数据的内容。你可能不想限制访问。 |\n| GitHub Codespaces | `github.dev` | 若要限制访问，请完全阻止该终结点。 |\n| SSH 访问权限 | GitHub.com 上的端口 22 | 若要限制访问，请完全阻止该终结点。 |\n| 基于 HTTPS 的 SSH | `ssh.github.com` | 若要限制访问，请完全阻止该终结点。 |\n| GitHub 托管的运行器 | 各种 | 若要强制实施特定路由，请使用 Azure 专用网络。请参阅“[关于企业中的 GitHub 托管的运行器的 Azure 专用网络](/zh/enterprise-cloud@latest/admin/configuring-settings/configuring-private-networking-for-hosted-compute-products/about-azure-private-networking-for-github-hosted-runners-in-your-enterprise)”。 |\n| 自托管运行程序 | 各种 | 若要强制实施特定路由，请使用代理服务器。请参阅“[将代理服务器与运行器一起使用](/zh/enterprise-cloud@latest/actions/how-tos/manage-runners/self-hosted-runners/use-proxy-servers)”。 |\n\n### 不需要限制的终结点\n\n以下终结点不支持或不需要限制，因为它们仅提供而不接收数据。\n\n* `*.githubusercontent.com`\n* `*.githubassets.com`\n* GitHub.com 上的 Websocket 流量\n\n## 限制的工作原理是什么？\n\n对于包含企业标头的流量，当用户尝试使用非企业成员的用户帐户（或与用户帐户关联的令牌）通过 Web、Git 或 API 访问 GitHub.com 时：\n\n* 用户会看到一条带有 `403` 状态代码的错误消息。请参阅[显示给被阻止用户的错误](#errors-displayed-to-blocked-users)。\n* `business.proxy_security_header_unsatisfied` 事件将记录在企业审核日志中。由于隐私原因，这些日志事件将没有 `actor` 字段，但将具有 `actor_ip` 字段（如启用）（请参阅“[在企业审核日志中显示 IP 地址](/zh/enterprise-cloud@latest/admin/monitoring-activity-in-your-enterprise/reviewing-audit-logs-for-your-enterprise/displaying-ip-addresses-in-the-audit-log-for-your-enterprise)”）。若要进一步调查这些事件，可以查看环境中的代理日志。\n\n以下部分提供了适用于用户 Web 活动和 API 请求的预期行为的详细信息。\n\n### Web 活动\n\n对于 GitHub.com 用户界面中的活动，标头限制用户可以登录的帐户。\n\n用户在你的网络上时：\n\n* **可以**登录到你的企业中的托管用户帐户。\n* 无法登录到你的企业外的帐户\\*\\*\\*\\*。\n* 无法使用帐户切换器切换到你的企业外的帐户\\*\\*\\*\\*。\n\n如果用户已登录到你的企业外的帐户（例如，他们在你的网络外登录），则当用户将其设备引入你的网络时，他们将收到错误，并且无法访问 GitHub.com，直到他们使用自己的企业拥有的帐户登录。\n\n### Git 活动\n\n如果代理配置为将标头注入 HTTP(S) 请求，则你的网络上的用户将被阻止通过 HTTP(S) 向 GitHub.com 进行身份验证，除非他们是你的企业成员。对于未经身份验证的匿名用户，公共读取请求不会被阻止。\n\n你不能使用企业标头通过 SSH 限制 Git 活动。相反，你可以选择完全阻止 SSH 请求的端口。请参阅[不支持的功能](#unsupported-features)。\n\n### API 请求\n\n对于流向 api.github.com 的 REST 和 GraphQL API 流量（包括通过 GitHub CLI 发出的请求），标头限制在用户连接到你的网络时使用访问令牌。\n\n| 场景 | 结果 | 受影响的令牌类型 |\n| ----------------------------------------- | ------------------------------------- | -------- |\n| 用户使用与你的企业拥有的帐户相关联的 personal access token。 | personal access token 在 API 请求中按预期工作。 | |\n\n```\n `ghp_` 和 `github_pat_` |\n```\n\n\\| 用户连接到你的网络时，尝试使用与你的企业外部用户相关联的 personal access token。 | 使用令牌的请求被阻止。 |\n`ghp_` 和 `github_pat_` |\n\\| 在你的网络外，用户使用你的企业外的帐户登录到在其设备上运行的 OAuth 应用。然后，用户将其设备引入你的网络。 | 应用中的 OAuth 令牌停止工作。 | `gho_` |\n\\| 用户在你的网络外部，使用你的企业外部的帐户登录到在其设备上运行的 GitHub App。然后，用户将其设备引入你的网络。 | 应用中的令牌停止工作。 | `ghu_` |\n\\| 应用程序连接到你的网络时，尝试使用 GitHub App 刷新令牌为你的企业外部用户刷新会话。 | 刷新失败。 | `ghr_` |\n\\| 连接到你的网络时，应用程序尝试为你的企业外的组织获取安装令牌（一个没有用户标识，只有应用标识的令牌）。 | 令牌将不起作用。 | `ghs_` |\n\n## 向阻止的用户显示的错误\n\n当限制按预期工作时，将向用户显示错误。在以下情况下会出现错误：\n\n* Web 活动：当用户被阻止登录或使用现有的过时会话时\\*\\*\\*\\*。\n* API 活动：当用户尝试使用与企业外的用户关联的令牌时\\*\\*\\*\\*。\n* 安装令牌：当应用程序尝试使用安装令牌访问企业外的组织或用户帐户时\\*\\*\\*\\*。对于安装，仅写入请求会被阻止。对企业外的资源的读取请求不会被阻止。若要详细了解安装令牌，请参阅“[验证为 GitHub 应用程序安装](/zh/enterprise-cloud@latest/apps/creating-github-apps/authenticating-with-a-github-app/authenticating-as-a-github-app-installation)”。\n\n| 场景 | 错误代码 | 消息 |\n| ------ | ---- | -------------------------------------------------------------------------------- |\n| Web 活动 | 403 | 网络管理员已阻止对除 `ENTERPRISE` 企业之外的 GitHub 的访问。请使用 `_SHORTCODE` 帐户登录，以访问 GitHub。 |\n| API 活动 | 403 | 网络管理员已阻止对除 `ENTERPRISE` 企业之外的 GitHub 的访问。请使用来自 `_SHORTCODE` 企业的用户的令牌访问 GitHub。 |\n| 安装令牌 | 403 | 网络管理员已阻止对除 `ENTERPRISE` 企业之外的 GitHub 的访问。只有持有 \"`SHORTCODE`\" 企业令牌的用户才能访问 GitHub。 |\n\n带有 `400` 代码的错误指示配置中出现错误。请参阅 [疑难解答](#troubleshooting)。\n\n## 本地测试示例\n\n可以使用 Web 调试工具在本地测试网络配置。本部分提供了使用 [Fiddler](https://www.telerik.com/fiddler) 的示例。请注意，Fiddler 和其他外部调试工具不在 GitHub 支持的范围内\\*\\*\\*\\*。\n\n在以下示例中，您将添加一些 FiddlerScript 以便在每个请求上运行。\n\n1. 安装 [Fiddler](https://www.telerik.com/fiddler)。\n\n2. 配置 Fiddler 以对 HTTPS 流量进行解密。请参阅 [Fiddler 文档](https://docs.telerik.com/fiddler/configure-fiddler/tasks/decrypthttps)。\n\n3. 在 Fiddler 中，导航到“FiddlerScript”选项卡，并将以下代码添加到 `OnBeforeRequest` 函数。将 `enterpriseId` 变量设置为自己的企业 ID。\n\n ```javascript copy\n // Your enterprise id\n var enterpriseId: String = \"YOUR-ID\";\n\n //Inject on the web UI\n if (oSession.HostnameIs(\"github.com\")){\n oSession.oRequest.headers.Add(\"sec-GitHub-allowed-enterprise\",enterpriseId)\n oSession[\"ui-color\"] = \"green\";\n }\n\n // Inject on API calls\n if (oSession.HostnameIs(\"api.github.com\")){\n oSession.oRequest.headers.Add(\"sec-GitHub-allowed-enterprise\",enterpriseId)\n oSession[\"ui-color\"] = \"blue\";\n }\n\n // Inject on Copilot API calls\n if (oSession.HostnameIs(\"githubcopilot.com\")){\n oSession.oRequest.headers.Add(\"sec-GitHub-allowed-enterprise\",enterpriseId)\n oSession[\"ui-color\"] = \"yellow\";\n }\n ```\n\n4. 单击“Save script”\\*\\*\\*\\*。\n\n现在，当数据包捕获处于活动状态时，将为每个指定的域注入标头。若要启用或禁用注入，可以通过单击“File”\\*\\*\\*\\*“Capture Traffic”来切换数据包捕获 > \\*\\*\\*\\*。\n\n可以打开和关闭此注入，以模拟使用不允许的帐户登录，然后进入网络，或在网络上尝试登录到不允许的帐户。\n\n## 故障排除\n\n如果你的标头注入未按预期工作，当你尝试使用受影响的终结点时，会看到带有 `400` 代码的错误。这与功能正常运作时显示的 `403` 错误不同（请参阅[阻止用户时显示的错误](#errors-displayed-to-blocked-users)）。\n\n通常，在以下情况下会出现 `400` 错误。\n\n* 标头使用无效的短代码或企业 ID。\n* 标头列出了多个企业。\n* 请求包含多个 `sec-GitHub-allowed-enterprise` 标头。\n\n| 场景 | 错误代码 | 消息 |\n| ---------- | ---- | -------------------------------------------------------------------------------------------- |\n| 无效的短代码或 ID | 400 | 找不到 `sec-GitHub-allowed-enterprise` 标头中命名的企业。确保在防火墙或代理设置中正确输入了“企业短代码”。如果此错误仍然存在，请与网络管理员联系。 |\n| 多个企业 | 400 | 只能将一个企业与 `sec-GitHub-allowed-enterprise` 标头一起使用。确保只提供一个企业和一个标题栏。如果此问题仍然存在，请与网络管理员联系 |\n| 多个标头 | 400 | 收到多个 `sec-GitHub-allowed-enterprise`。此标头必须被防火墙或代理覆盖，以确保只有单个企业被授予访问权限。如果此问题仍然存在，请与网络管理员联系。 |\n\n## 其他阅读材料\n\n* [管理 GitHub Copilot 访问权限至组织的网络](/zh/enterprise-cloud@latest/copilot/managing-copilot/managing-github-copilot-in-your-organization/managing-access-to-github-copilot-in-your-organization/managing-github-copilot-access-to-your-organizations-network#configuring-copilot-subscription-based-network-routing-for-your-organization)"}