Skip to main content

实施组织的 SAML 单点登录

组织所有者和管理员可以实施 SAML SSO,以便所有组织成员都必须通过身份提供程序 (IdP) 进行身份验证。

关于对组织实施 SAML SSO

启用 SAML SSO 时,GitHub 将提示访问 GitHub.com 上组织资源的成员使用 IdP 进行身份验证,IdP 会将成员的个人帐户链接到 IdP 上的身份。 成员在使用 IdP 进行身份验证之前仍然可以访问组织的资源。

您也可以对组织实施 SAML SSO。 强制实施 SAML SSO 时,组织的所有成员都必须通过 IdP 进行身份验证才能访问组织的资源。 实施会从组织中删除尚未通过 IdP 进行身份验证的任何成员和管理员。 GitHub 将向每个被删除的用户发送电子邮件通知。

注意:若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。

任何因强制实施 SAML SSO 而被删除的用户都可以通过 SAML 单一登录进行身份验证来重新加入组织。 如果用户在三个月内重新加入组织,则该用户的访问权限和设置将恢复。 有关详细信息,请参阅“Reinstating a former member of your organization(恢复组织前成员的身份)”。

未在组织的 IdP 中设置外部身份的自动程序和服务帐户在执行 SAML SSO 时也将被删除。 有关机器人和服务帐户的详细信息,请参阅“使用 SAML 单点登录管理自动程序和服务帐户”。

如果您的组织是企业帐户所拥有的, 要求企业帐户的 SAML 将会覆盖您的组织级 SAML 配置,并对企业中的每个组织强制执行 SAML SSO。 有关详细信息,请参阅“为企业配置 SAML 单点登录”。

提示: 在组织中设置 SAML SSO 时,可通过不选中“要求组织的所有成员进行 SAML SSO 身份验证”,在不影响组织成员的情况下测试实现。

对组织实施 SAML SSO

  1. 为您的组织启用并测试 SAML SSO,然后至少用您的 IdP 进行一次身份验证。 有关详细信息,请参阅“启用和测试组织的 SAML 单点登录”。

  2. 准备对组织实施 SAML SSO。 有关详细信息,请参阅“准备在组织中实施 SAML 单点登录”。

  3. 在 GitHub.com 的右上角,选择个人资料照片,然后单击 “你的组织”****。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。

  4. 在组织旁边,单击“设置”。

  5. 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。

  6. 在“SAML 单一登录”下,选择“要求对 ORGANIZATION 组织的所有成员进行 SAML SSO 身份验证”。

  7. 如有任何组织成员尚未通过您的 IdP 进行身份验证,则 GitHub 会显示这些成员。 如果您强制执行 SAML SSO,GitHub 将从组织中删除成员。

    查看警告,单击“删除成员并要求 SAML 单一登录”。

  8. 在“Single sign-on recovery codes(单点登录恢复代码)”下,查看您的恢复代码。 将恢复代码存储在安全位置,如密码管理器。

延伸阅读