Skip to main content

为企业托管用户配置 SAML 单点登录

您可以通过配置安全断言标记语言 (SAML) 单点登录 (SSO) 来自动管理对 GitHub 企业帐户的访问。

要使用身份提供程序管理企业中的用户,必须为企业启用 企业托管用户,这可用于 GitHub Enterprise Cloud。 更多信息请参阅“关于 企业托管用户”。

关于 企业托管用户 的 SAML 单点登录

通过 企业托管用户,您的企业使用 SAML SSO 对所有成员进行身份验证。 您的企业成员将通过您的 IdP 登录,而不是使用 GitHub 用户名和密码登录 GitHub。

企业托管用户 支持以下 IdP:

  • Azure Active Directory (Azure AD)
  • Okta

配置 SAML SSO 后,我们建议您存储恢复代码,以便在身份提供商不可用时恢复对企业的访问权限。

注意: 启用 SAML SSO 后,您可以在 GitHub 上更新现有 SAML 配置的唯一设置是 SAML 证书。 如果需要更新登录 URL或颁发者,则必须先禁用 SAML SSO,然后使用新设置重新配置 SAML SSO。

为 企业托管用户 配置 SAML 单点登录

要为您的 具有托管用户的企业 配置 SAML SSO,您必须在 IdP 上配置应用程序,然后在 GitHub.com 上配置您的企业。 配置 SAML SSO 后,您可以配置用户预配。

要在 IdP 上安装和配置 GitHub Enterprise 托管用户 应用程序,您必须在受支持的 IdP 上具有租户和管理访问权限。

If you need to reset the password for your setup user, contact GitHub 支持 through the GitHub 支持门户.

  1. 配置身份提供程序
  2. 配置企业
  3. 启用预配

配置身份提供程序

要配置您的 IdP,请按照他们提供的用于在 IdP 上配置 GitHub Enterprise 托管用户 应用程序的说明进行操作。

  1. 要安装 GitHub Enterprise 托管用户 应用程序,请单击下面您的 IdP 的链接:

  2. 要配置 GitHub Enterprise 托管用户 应用程序和您的 IdP,请单击下面的链接,然后按照您的 IdP 提供的说明进行操作:

  3. 因此,您可以测试和配置您的企业,将您自己或将在 GitHub 上配置 SAML SSO 的用户分配到 IdP 上的 GitHub Enterprise 托管用户 应用程序。

  4. 为使您能够继续在 GitHub 上配置企业,请从您在 IdP 上安装的应用程序中找到并记下以下信息:

    其他名称描述
    IdP 登录 URL登录 URL,IdP URLIdP 上的应用程序 URL
    IdP 标识符 URL颁发者IdP 对服务提供商的标识符,用于 SAML 身份验证
    签名证书,Base64 编码公共证书IdP 用于对身份验证请求进行签名的公共证书

配置企业

在身份提供程序上安装和配置 GitHub Enterprise 托管用户 应用程序后,可以配置企业。

  1. 以新企业的设置用户身份登录 GitHub.com ,用户名为 @SHORT-CODE_admin

  2. 在 GitHub.com 的右上角,单击您的个人资料照片,然后单击 Your enterprises(您的企业)GitHub Enterprise Cloud 上个人资料照片下拉菜单中的"Your enterprises(您的企业)"

  3. 在企业列表中,单击您想要查看的企业。 企业列表中的企业名称

  4. 在企业帐户侧边栏中,单击 Settings(设置)企业帐户侧边栏中的“设置”选项卡

  5. 在左侧边栏中,单击 Security(安全)Security tab in the enterprise account settings sidebar

  6. 在“SAML single sign-on”(SAML 单点登录)下,选择 Require SAML authentication(需要 SAML 身份验证)用于启用 SAML SSO 的复选框

  7. Sign on URL(登录 URL)下,键入您在配置 IdP 时记录的单点登录请求的 IdP 的 HTTPS 终端节点。 登录时将成员转发到的 URL 字段

  8. 颁发者(Issuer)下,键入您在配置 IdP 时记下的 SAML 颁发者 URL,以验证已发送邮件的真实性。 SAML 签发者姓名字段

  9. Public Certificate(公共证书)下,粘贴您在配置 IdP 时记下的证书,以验证 SAML 响应。 身份提供程序的公共证书字段

  10. 要验证来自 SAML 签发者的请求的完整性,请单击 。 然后,在“Signature Method(签名方法)”和“Digest Method(摘要方法)”下拉菜单中,选择 SAML 签发者使用的哈希算法。 SAML 签发者使用的签名方法和摘要方法哈希算法下拉列表

  11. 在为企业启用 SAML SSO 之前,为确保输入的信息正确,请单击 Test SAML configuration(测试 SAML 配置)实施前测试 SAML 配置的按钮

  12. 单击 Save(保存)

    注意: 当您的企业需要 SAML SSO 时,设置用户将不再有权访问企业,但仍会登录到 GitHub。 只有您的 IdP 预置的 托管用户 才能访问企业。

  13. To ensure you can still access your enterprise in the event that your identity provider is ever unavailable in the future, click Download, Print, or Copy to save your recovery codes. 更多信息请参阅“下载企业帐户的单点登录恢复代码”。

    用于下载、打印或复制恢复代码的按钮屏幕截图

启用预配

启用 SAML SSO 后,请启用置备。 更多信息请参阅“配置企业托管用户的 SCIM 预配”。