Skip to main content

将 SAML 配置从组织切换到企业帐户

了解将组织级 SAML 配置替换为企业级 SAML 配置的特殊注意事项和最佳实践。

Enterprise owners can configure SAML single sign-on for an enterprise account.

关于企业帐户的 SAML 单点登录

SAML 单点登录 (SSO) 为使用 GitHub Enterprise Cloud 的组织所有者和企业所有者提供一种控制安全访问仓库、议题和拉取请求等组织资源的方法。 企业所有者可以通过 SAML IdP 跨企业帐户拥有的所有组织启用 SAML SSO 和集中式身份验证。 为企业帐户启用 SAML SSO 后,默认情况下会为您的企业帐户拥有的所有组织实施 SAML SSO。 所有成员都需要使用 SAML SSO 进行身份验证才能访问其所属的组织,并且企业所有者在访问企业帐户时需要使用 SAML SSO 进行身份验证。

如果企业帐户拥有的任何组织已配置为使用 SAML SSO,则为企业帐户启用 SAML SSO 时,有一些特殊注意事项。

在组织级别配置 SAML SSO 时,必须在 IdP 中为每个组织配置唯一的 SSO 租户,这意味着您的成员将与已成功进行身份验证的每个组织的唯一 SAML 身份记录相关联。 如果您为企业帐户配置 SAML SSO,则每个企业成员将具有一个 SAML 身份,该身份用于企业帐户拥有的所有组织。

为企业帐户配置 SAML SSO 后,新配置将覆盖企业帐户拥有的组织的任何现有 SAML SSO 配置。

当企业所有者为企业帐户启用 SAML 时,不会通知企业成员。 如果以前在组织级别强制实施了 SAML SSO,则在直接导航到组织资源时,成员应该不会看到重大差异。 系统将继续提示成员通过 SAML 进行身份验证。 如果成员通过其 IdP 仪表板导航到组织资源,则需要单击企业级应用程序的新磁贴,而不是组织级应用程序的旧磁贴。 然后,成员将能够选择要导航到的组织。

以前为组织授权的任何个人访问令牌 (PAT)、SSH 密钥、OAuth 应用程序 和 GitHub 应用程序 将继续为组织授权。 但是,成员需要授权任何从未授权与组织的 SAML SSO 一起使用的 PAT、SSH 密钥、OAuth 应用程序和 GitHub 应用程序 。

为企业帐户配置 SAML SSO 时,当前不支持 SCIM 预配。 如果您当前正在为企业帐户拥有的组织使用 SCIM,则在切换到企业级配置时将失去此功能。

在为企业帐户配置 SAML SSO 之前,不需要删除任何组织级 SAML 配置,但您可能需要考虑这样做。 如果将来为企业帐户禁用 SAML,则任何剩余的组织级 SAML 配置都将生效。 删除组织级配置可以防止将来出现意外问题。

将 SAML 配置从组织切换到企业帐户

  1. 为您的企业帐户强制实施 SAML SSO,确保为所有组织成员分配或授予对用于企业帐户的 IdP 应用程序的访问权限。 更多信息请参阅“配置企业的 SAML 单点登录”。
  2. (可选)删除企业帐户拥有的组织的任何现有 SAML 配置。 为了帮助您决定是否删除配置,请参阅“关于企业帐户的 SAML 单点登录”。
  3. 如果您保留了任何组织级 SAML 配置,为防止混淆,请考虑在 IdP 中隐藏组织级应用程序的磁贴。
  4. 向您的企业成员提供有关更改的建议。