Skip to main content

关于企业 IAM 的 SAML

您可以使用 SAML 单点登录 (SSO) 集中管理 对企业在 GitHub.com 上拥有的组织 的访问。

关于 GitHub.com 上企业的 SAML SSO

如果您的企业成员在 GitHub.com 上管理自己的用户帐户,则可以将 SAML 身份验证配置为企业或组织的额外访问限制。 SAML 单点登录 (SSO) 为使用 GitHub Enterprise Cloud 的组织所有者和企业所有者提供一种控制安全访问仓库、议题和拉取请求等组织资源的方法。

企业所有者可以通过 SAML IdP 跨企业帐户拥有的所有组织启用 SAML SSO 和集中式身份验证。 为企业帐户启用 SAML SSO 后,默认情况下会为您的企业帐户拥有的所有组织实施 SAML SSO。 所有成员都需要使用 SAML SSO 进行身份验证才能访问其所属的组织,并且企业所有者在访问企业帐户时需要使用 SAML SSO 进行身份验证。 更多信息请参阅“配置企业的 SAML 单点登录”。

或者,您可以使用 企业托管用户 来配置和管理企业成员的帐户。 为了帮助您确定 SAML SSO 或 企业托管用户 是否更适合您的企业,请参阅“关于企业的身份验证”。

If a SAML configuration error or an issue with your identity provider (IdP) prevents you from using SAML SSO, you can use a recovery code to access your enterprise. 更多信息请参阅“管理企业的恢复代码”。

启用 SAML SSO 后,根据使用的 IDP,您可能能够启用额外的身份和访问管理功能。

如果使用 Azure AD 作为 IDP,您可以使用团队同步来管理每个组织中的团队成员身份。 当您将 GitHub 团队与 IdP 组同步时,IdP 组的变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 您可以使用 IdP 与团队同步来管理一系列管理任务,如新成员登记、为组织内的调动授予新权限及删除成员对组织的访问权限。 更多信息请参阅“管理企业帐户中组织的团队同步”。

注意: 除非为企业启用了 企业托管用户,否则无法在企业级别使用 SCIM。

如果企业帐户拥有的任何组织已配置为使用 SAML SSO,则为企业帐户启用 SAML SSO 时,有一些特殊注意事项。 更多信息请参阅“将 SAML 配置从组织切换到企业帐户”。

支持的 IdP

我们测试并正式支持以下 IdP。 对于 SAML SSO,我们向执行 SAML 2.0 标准的所有身份提供程序提供有限的支持。 更多信息请参阅 OASIS 网站上的 SAML Wiki

IdPSAML团队同步
Active Directory Federation Services (AD FS)
Azure Active Directory (Azure AD)
Okta
OneLogin
PingOne
Shibboleth

延伸阅读