Skip to main content

关于企业 IAM 的 SAML

可以使用 SAML 单一登录 (SSO) 集中管理企业拥有的组织在 GitHub.com 上 的访问权限。

关于你的企业在GitHub.com 上的 SAML SSO

如果企业成员在 GitHub.com 上管理他们自己的用户帐户,你可将 SAML 身份验证配置为企业或组织的附加访问限制。 SAML 单一登录 (SSO) 为使用 GitHub Enterprise Cloud 的组织所有者和企业所有者提供了一种控制安全访问存储库、问题和拉取请求等组织资源的方法。

如果配置了 SAML SSO,组织成员将继续在 GitHub.com 上登录到其个人帐户。 当成员访问组织内的大部分资源时,GitHub 会将成员重定向到你的 IdP 以进行身份验证。 身份验证成功后,IdP 将该成员重定向回 GitHub。 有关详细信息,请参阅“关于通过 SAML 单一登录进行身份验证”。

注意: SAML SSO 不会取代 GitHub 的正常登录过程。 除非使用 Enterprise Managed Users,否则成员将继续在 GitHub.com 上登录到其个人帐户,并且每个个人帐户都将链接到 IdP 中的外部标识。

企业所有者可以通过 SAML IdP 跨企业帐户拥有的所有组织启用 SAML SSO 和集中式身份验证。 为企业帐户启用 SAML SSO 后,默认情况下会为您的企业帐户拥有的所有组织实施 SAML SSO。 所有成员都需要使用 SAML SSO 进行身份验证才能访问其所属的组织,并且企业所有者在访问企业帐户时需要使用 SAML SSO 进行身份验证。 有关详细信息,请参阅“为企业配置 SAML 单一登录”。

或者,可使用 Enterprise Managed Users 预配和管理企业成员的帐户。 若要帮助确定是 SAML SSO 还是 Enterprise Managed Users 更适合你的企业,请参阅“关于企业身份验证”。

如果 SAML 配置错误或标识提供者 (IdP) 问题阻止你使用 SAML SSO,你可以使用恢复代码访问你的企业。 有关详细信息,请参阅“管理企业的恢复代码”。

启用 SAML SSO 后,根据使用的 IDP,您可能能够启用额外的身份和访问管理功能。

如果使用 Azure AD 作为 IDP,您可以使用团队同步来管理每个组织中的团队成员身份。 如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 有关详细信息,请参阅“为组织管理团队同步”和“为企业中的组织管理团队同步”。 有关详细信息,请参阅“管理企业帐户中组织的团队同步”。

注意:除非你的企业启用了 Enterprise Managed Users,否则无法在企业级别使用 SCIM。

如果企业帐户拥有的任何组织已配置为使用 SAML SSO,则为企业帐户启用 SAML SSO 时,有一些特殊注意事项。 有关详细信息,请参阅将 SAML 配置从组织切换为企业帐户

支持的 IdP

我们测试并正式支持以下 IdP。 对于 SAML SSO,我们向执行 SAML 2.0 标准的所有身份提供程序提供有限的支持。 有关详细信息,请参阅 OASIS 网站上的 SAML Wiki

IdPSAML团队同步
Active Directory 联合身份验证服务 (AD FS)
Azure Active Directory (Azure AD)租户
Okta
OneLogin
PingOne
Shibboleth

延伸阅读