Skip to main content

使用 Octa 配置 SAML 单个登录和 SCIM

您可以使用安全声明标记语言 (SAML) 单点登录 (SSO) 和跨域身份管理系统 (SCIM) 与 Okta 一起来自动管理对 GitHub.com 上组织的访问。

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

关于 SAML 和 SCIM 与 Octa

通过将组织配置为将 SAML SSO 和 SCIM 与身份提供程序 (IdP) Okta 结合使用,您可以从一个中心界面控制对您 GitHub.com 和其他 Web 应用程序上的组织的访问。

Note: To use SAML single sign-on, your organization must use GitHub Enterprise Cloud. 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 试用版”。

SAML SSO 控制并保护对组织资源(如仓库、议题和拉取请求)的访问。 当您在 Okta 中进行更改时,SCIM 会自动添加、管理和删除成员对您在 GitHub.com 上的组织的访问权限。 更多信息请参阅“关于使用 SAML 单点登录管理身份和访问”和“关于组织的 SCIM”。

启用 SCIM 后,您在 Okta 中为其分配了 GitHub Enterprise Cloud 应用程序的任何用户都可以使用以下配置。

功能描述
推送新用户当您在 Okta 中创建新用户时,该用户将收到一封电子邮件,要求您在 GitHub.com 上加入您的组织。
推送用户停用当您在 Okta 中停用用户时,Okta 将从您在 GitHub.com 上的组织中删除该用户。
推送个人资料更新当您在 Okta 中更新用户的个人资料时,Okta 将更新您在 GitHub.com 上的组织中该用户成员身份的元数据。
重新激活用户当您在 Okta 中重新激活用户时,Okta 将发送电子邮件邀请该用户在 GitHub.com 上重新加入您的组织。

或者,您可以使用 Okta 为企业配置 SAML SSO。 适用于企业帐户的 SCIM 仅适用于企业托管用户。 更多信息请参阅“使用 Okta 为企业配置 SAML 单点登录”和“使用 Okta 为企业托管用户配置 SCIM 预配”。

在 Okta 中添加 GitHub Enterprise Cloud 应用程序

  1. 在应用程序名称下,单击 Sign on(登录)Okta 应用程序的"登录"选项卡屏幕截图
  2. 在“SIGN ON METHODS(登录方式)”下,单击 View Setup Instructions(查看设置说明)
  3. 按照“如何配置 SAML 2.0”指南,使用登录 URL、发行机构 URL 和公共证书在 GitHub 上启用并测试 SAML SSO。 更多信息请参阅“对组织启用并测试 SAML 单点登录”。

在 Okta 中使用 SCIM 配置访问配置

To use SCIM with your organization, you must use a third-party-owned OAuth 应用程序. The OAuth 应用程序 must be authorized by, and subsequently acts on behalf of, a specific GitHub user. If the user who last authorized this OAuth 应用程序 leaves or is removed from the organization, SCIM will stop working. To avoid this issue, we recommend creating a dedicated user account to configure SCIM. This user account must be an organization owner and will consume a license.

  1. 使用作为组织所有者且理想情况下仅用于 SCIM 配置的帐户登录到 GitHub.com。

  2. 要为组织创建活动的 SAML 会话,请导航到 https://github.com/orgs/ORGANIZATION-NAME/sso。 更多信息请参阅“关于使用 SAML 单点登录进行身份验证”。

  3. 导航到 Okta。

  4. 在左侧边栏中,使用 Applications(应用程序)下拉列表,然后单击 Applications(应用程序)

  5. 在应用程序列表中,单击为使用 GitHub Enterprise Cloud 的组织所创建的应用程序的标签。

  6. 在应用程序名称下,单击 Provisioning(预配)Okta 应用程序的"预配"选项卡屏幕截图

  7. 单击 Configure API Integration(配置 API 集成)

  8. 选择 Enable API integration(启用 API 集成)

  9. 单击使用 GitHub Enterprise Cloud 进行身份验证 - 组织

  10. 在组织名称的右侧,单击 Grant(授予)

    用于授权 Okta SCIM 集成访问组织的"Grant(授予)"按钮

  11. 单击 Authorize OktaOAN(授权 OktaOAN)

  12. 单击 Save(保存)

  13. 为避免同步错误并确认用户已启用 SAML 和 SCIM 链接标识,我们建议您审核组织的用户。 更多信息请参阅“审核用户是否缺少 SCIM 元数据”。

  14. 在“Provisioning to App(配置到 App)”的右侧,单击 Edit(编辑)

    用于 Okta 应用程序配置选项的"Edit(编辑)"按钮屏幕截图

  15. Create Users(创建用户)Update User Attributes(更新用户属性)Deactivate Users(停用用户)的右侧,选择 Enable(启用)

    "创建用户"、"更新用户属性"和"停用用户"选项的"启用"复选框屏幕截图

  16. 单击 Save(保存)

延伸阅读