Skip to main content

为企业托管用户配置 SAML 单一登录

可以通过配置安全断言标记语言 (SAML) 单一登录 (SSO) 来自动管理对 GitHub 上企业帐户的访问。

若要使用标识提供者管理企业中的用户,企业必须启用 Enterprise Managed Users,它适用于 GitHub Enterprise Cloud。 有关详细信息,请参阅“关于 Enterprise Managed Users”。

关于 Enterprise Managed Users 的 SAML 单一登录

通过 Enterprise Managed Users,你的企业使用你的企业标识提供者 (IdP) 对所有成员进行身份验证。 你的企业成员将通过 IdP 登录,而不是使用 GitHub 用户名和密码登录到 GitHub。

Enterprise Managed Users 支持以下 IdP:

  • Azure Active Directory (Azure AD)
  • Okta

配置 SAML SSO 后,我们建议存储恢复代码,以便在标识提供者不可用时恢复对企业的访问权限。

如果目前使用 SAML SSO 进行身份验证,并且更希望使用 OIDC 并受益于 CAP 支持,则可以遵循迁移路径。 有关详细信息,请参阅“从 SAML 迁移到 OIDC”。

注意:启用 SAML SSO 后,可在 GitHub 上为现有的 SAML 配置所更新的唯一设置是 SAML 证书。 如果需要更新登录 URL 或颁发者,必须首先禁用 SAML SSO,然后使用新设置重新配置 SAML SSO。

配置 Enterprise Managed Users 的 SAML 单一登录

若要为 enterprise with managed users 配置 SAML SSO,必须在 IdP 上配置应用程序,然后在 GitHub.com 上配置企业。 配置 SAML SSO 后,可以配置用户预配。

要在 IdP 上安装和配置 GitHub Enterprise Managed User 应用程序,必须在受支持的 IdP 上拥有租户和管理访问权限。

如果需要重置设置用户的密码,请通过 GitHub 支持门户 联系 GitHub 支持。

  1. 配置标识提供者
  2. 配置企业
  3. 启用设置

配置标识提供者

要配置 IdP,请按照他们提供的说明在 IdP 上配置 GitHub Enterprise Managed User 应用程序。

  1. 要安装 GitHub Enterprise Managed User 应用程序,请单击下面的 IdP 链接:

  2. 要配置 GitHub Enterprise Managed User 应用程序和 IdP,请单击以下链接,并按照 IdP 提供的说明进行操作:

  3. 因此,你可以测试和配置企业,将自己或将在 GitHub 上配置 SAML SSO 的用户分配到 IdP 上的 GitHub Enterprise Managed User 应用程序。

  4. 若要能够继续在 GitHub 上配置企业,请找到并记下在 IdP 上安装的应用程序的以下信息:

    其他名称说明
    IdP 登录 URL登录 URL、IdP URLIdP 上的应用程序的 URL
    IdP 标识符 URL颁发者用于 SAML 身份验证的服务提供商的 IdP 标识符
    签名证书,Base64 编码公用证书IdP 用于对身份验证请求进行签名的公共证书

配置企业

在标识提供者上安装并配置 GitHub Enterprise Managed User 应用程序之后,便可以配置企业。

  1. 使用用户名“@SHORT-CODE_admin”以新企业的安装用户身份登录到 GitHub.com。

  2. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。 GitHub Enterprise Cloud 上个人资料照片下拉菜单中的“你的企业”

  3. 在企业列表中,单击您想要查看的企业。 企业列表中的企业名称

  4. 在企业帐户侧边栏中,单击 “设置”。 企业帐户侧边栏中的“设置”选项卡

  5. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  6. 在“SAML 单一登录”下,选择“要求 SAML 身份验证”。 用于启用 SAML SSO 的复选框

  7. 在“登录 URL”下,键入在配置 IdP 时记下的用于单一登录请求的 IdP 的 HTTPS 终结点。 登录时将成员转发到的 URL 字段

  8. (可选)在“颁发者”字段下,输入在配置 IdP 时记下的 SAML 颁发者 URL,以验证发送的消息的真实性。 SAML 颁发者的姓名字段

  9. 在“公共证书”下,粘贴在配置 IdP 时记下的证书以验证 SAML 响应。 标识提供程序的公共证书字段

  10. 要验证来自 SAML 签发者的请求的完整性,请单击 。 然后,在“签名方法”和“摘要方法”下拉菜单中,选择 SAML 签发者使用的哈希算法。 SAML 颁发者使用的签名方法和摘要方法哈希算法下拉列表

  11. 在为企业启用 SAML SSO 之前,单击“测试 SMAL 配置”,以确保已输入的信息正确。 实施前测试 SAML 配置的按钮

  12. 单击“ 保存”。

    注意:当企业需要 SAML SSO 时,安装用户将不再有权访问企业,但将保持登录到 GitHub。 只有 IdP 预配的 managed user accounts 才能访问企业。

  13. 要确保在标识提供者将来不可用时仍可访问企业,请单击“下载”、“打印”或“复制”以保存恢复代码 。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。

    下载、打印或复制恢复代码的按钮的屏幕截图

启用设置

启用 SAML SSO 后,启用预配。 有关详细信息,请参阅“为企业托管用户配置 SCIM 预配”。