Skip to main content

使用 Octa 配置 SAML 单个登录和 SCIM

可以使用安全断言标记语言 (SAML) 单一登录 (SSO) 和跨域身份管理系统 (SCIM) 与 Okta 一起来自动管理对 GitHub.com 上组织的访问。

谁可以使用此功能?

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

关于 SAML 和 SCIM 与 Octa

通过将组织配置为将 SAML SSO 和 SCIM 与身份提供程序 (IdP) Okta 结合使用,你可以从一个中心界面控制对你 GitHub.com 和其他 Web 应用程序上的组织的访问。

注意:若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。

SAML SSO 控制并保护对组织资源(如仓库、议题和拉取请求)的访问。 当你在 Okta 中进行更改时,SCIM 会自动添加、管理和移除成员对你在 GitHub.com 上的组织的访问权限。 有关详细信息,请参阅“关于使用 SAML 单一登录进行的标识和访问管理”和“关于组织的 SCIM”。

启用 SCIM 后,您在 Okta 中为其分配了 GitHub Enterprise Cloud 应用程序的任何用户都可以使用以下配置。

功能说明
推送新用户当你在 Okta 中创建新用户时,该用户将收到一封电子邮件,以便加入你在 GitHub.com 上的组织。
推送用户停用当你在 Okta 中停用用户时,Okta 将从你在 GitHub.com 上的组织中移除该用户。
推送个人资料更新当你在 Okta 中更新用户配置文件时,Okta 将更新你在 GitHub.com 上的组织中该用户成员身份的元数据。
重新激活用户当你在 Okta 中重新激活用户时,Okta 将发送电子邮件,邀请该用户在 GitHub.com 上重新加入你的组织。

或者,您可以使用 Okta 为企业配置 SAML SSO。 适用于企业帐户的 SCIM 仅适用于企业托管用户。 有关详细信息,请参阅“使用 Okta 为企业配置 SAML 单点登录”和“使用 Okta 配置 SCIM 预配”。

在 Okta 中配置 SAML

  1. 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。
  2. 单击“浏览应用目录”。
  3. 搜索名为“GitHub Enterprise Cloud - Organization”的应用程序。
  4. 单击“添加集成”。
  5. 填写表单,提供 GitHub 上的组织名称和“应用程序标签”字段中的唯一名称。
  6. 将应用程序分配给您在 Okta 中的用户。 有关详细信息,请参阅 Okta 文档中的向用户分配应用程序
  7. 在应用程序名称下,单击“登录”。
  8. 在“登录方法”下,单击“查看设置说明”。
  9. 按照“如何配置 SAML 2.0”指南,使用登录 URL、发行机构 URL 和公共证书在 GitHub 上启用并测试 SAML SSO。 有关详细信息,请参阅“启用和测试组织的 SAML 单点登录”。

在 Okta 中使用 SCIM 配置访问配置

若要将 SCIM 用于你的组织,必须使用第三方拥有的 OAuth app。 OAuth app 必须由特定 GitHub 用户授权,然后代表该用户执行操作。 如果上次授权此 OAuth app 的用户离开或者被从组织中移除,SCIM 将停止工作。 为避免此问题,我们建议创建一个专用用户帐户来配置 SCIM。 此用户帐户必须是组织所有者,并且将使用许可证。

  1. 使用组织所有者的帐户登录到 GitHub.com,理想情况下仅用于 SCIM 配置。

  2. 若要为组织创建活动的 SAML 会话,请导航到 https://github.com/orgs/ORGANIZATION-NAME/sso。 有关详细信息,请参阅“关于使用 SAML 单点登录进行身份验证”。

  3. 导航到 Okta。

  4. 在左侧边栏中,使用“应用程序”下拉列表并单击“应用程序” 。

  5. 在应用程序列表中,单击为使用 GitHub Enterprise Cloud 的组织所创建的应用程序的标签。

  6. 在应用程序名称下,单击“预配”。

  7. 单击“配置 API 集成”。

  8. 选择“启用 API 集成”。

  9. 单击“使用 GitHub Enterprise Cloud 进行身份验证 - 组织”。

  10. 在组织名称右侧,单击“授权”。

    注意:**** 如果看不到组织,这可能是因为组织启用了 OAuth app 访问限制。 若要继续,需要批准组织的“OKTA SCIM 集成”应用。 有关详细信息,请参阅“批准组织的 OAuth 应用”。

  11. 单击“授权 OktaOAN”。

  12. 单击保存

  13. 为避免同步错误并确认用户已启用 SAML 且拥有 SCIM 关联标识,建议你审核组织的用户。 有关详细信息,请参阅“排除组织的标识和访问管理故障”。

  14. 在“预配到应用”右侧,单击“编辑”。

  15. 在“创建用户”右侧,选择“启用”。

  16. 在“更新用户属性”右侧,选择“启用”。

  17. 在“停用用户”右侧,选择“启用”。

  18. 单击“保存” 。

延伸阅读