关于企业帐户的 SAML 单点登录
SAML 单点登录 (SSO) 为 GitHub 上的组织所有者和企业所有者提供一种控制安全访问仓库、议题和拉取请求等组织资源的方法。更多信息请参阅“关于使用 SAML 单点登录管理身份和访问”。
企业所有者可以通过 SAML IdP 跨企业帐户拥有的所有组织启用 SAML SSO 和集中式身份验证。 为企业帐户启用 SAML SSO 后,默认情况下会为您的企业帐户拥有的所有组织启用 SAML SSO。 所有成员都需要使用 SAML SSO 进行身份验证才能访问其所属的组织,并且企业所有者在访问企业帐户时需要使用 SAML SSO 进行身份验证。
要在 GitHub 上访问每个组织的资源,成员必须在其浏览器中启动 SAML 会话。 要使用 API 和 Git 访问每个组织的受保护资源,成员必须使用被授权在组织中使用的个人访问令牌或 SSH 密钥。 企业所有者可以随时查看和撤销成员链接的身份、活动的会话或授权的凭据。 更多信息请参阅“查看和管理用户对企业帐户的 SAML 访问”。
我们向执行 SAML 2.0 标准的所有身份提供程序提供有限的支持。 我们正式支持以下经过内部测试的身份提供程序:
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
如果您在参与为企业帐户预配用户的私有测试版,则当您为企业帐户启用 SAML 时,默认在 GitHub 中启用 SCIM 预配和解除预配。 您可以使用预配在 IDP 中配置 SCIM 来管理组织成员身份。 如果您没有参与私人测试,那么 SIM 卡不支持企业账户。 更多信息请参阅“关于企业帐户中组织的用户配置”。
为企业帐户中的组织启用 SAML 单点登录
注:对企业帐户启用 SAML 单点登录身份验证将覆盖任何现有的组织级 SAML 配置。
有关如何使用 Okta 启用 SAML 的更多详细信息,请参阅“使用 Okta 为企业帐户配置 SAML 单点登录和 SCIM”。
-
在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your enterprises(您的企业)。
-
在企业列表中,单击您想要查看的企业。
-
在企业帐户侧边栏中,单击 Settings(设置)。
-
在左侧边栏中,单击 Security(安全)。
-
(可选)要在实施设置之前,查看设置对企业帐户中所有组织的当前配置,请单击 View your organizations' current configurations(查看组织的当前配置)。
-
在“SAML single sign-on”(SAML 单点登录)下,选择 Enable SAML authentication(启用 SAML 身份验证)。
-
在 Sign on URL(登录 URL)字段中,为单点登录请求输入您的 IdP 的 HTTPS 端点。 此值可在 IdP 配置中找到。
-
(可选)在 Issuer(签发者)字段中,输入 SAML 签发者 URL 以验证已发送消息的真实性。
-
在 Public Certificate(公共证书)下,粘贴证书以验证 SAML 响应。
-
要验证来自 SAML 签发者的请求的完整性,请单击 。 然后,在“Signature Method(签名方法)”和“Digest Method(摘要方法)”下拉菜单中,选择 SAML 签发者使用的哈希算法。
-
在为企业启用 SAML SSO 之前,单击 Test SAML configuration(测试 SMAL 配置) ,以确保已输入的信息正确。
-
单击 Save(保存)。