Skip to main content

使用 Octa 配置 SAML 单个登录和 SCIM

可以使用安全断言标记语言 (SAML) 单一登录 (SSO) 和跨域身份管理系统 (SCIM) 与 Okta 一起来自动管理对 GitHub.com 上组织的访问。

Who can use this feature

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

关于 SAML 和 SCIM 与 Octa

通过将组织配置为将 SAML SSO 和 SCIM 与身份提供程序 (IdP) Okta 结合使用,您可以从一个中心界面控制对您 GitHub.com 和其他 Web 应用程序上的组织的访问。

注意:若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。

SAML SSO 控制并保护对组织资源(如仓库、议题和拉取请求)的访问。 当您在 Okta 中进行更改时,SCIM 会自动添加、管理和删除成员对您在 GitHub.com 上的组织的访问权限。 有关详细信息,请参阅“关于使用 SAML 单一登录进行标识和访问管理”和“关于组织的 SCIM”。

启用 SCIM 后,您在 Okta 中为其分配了 GitHub Enterprise Cloud 应用程序的任何用户都可以使用以下配置。

功能说明
推送新用户当您在 Okta 中创建新用户时,该用户将收到一封电子邮件,要求您在 GitHub.com 上加入您的组织。
推送用户停用当您在 Okta 中停用用户时,Okta 将从您在 GitHub.com 上的组织中删除该用户。
推送个人资料更新当您在 Okta 中更新用户的个人资料时,Okta 将更新您在 GitHub.com 上的组织中该用户成员身份的元数据。
重新激活用户当您在 Okta 中重新激活用户时,Okta 将发送电子邮件邀请该用户在 GitHub.com 上重新加入您的组织。

或者,您可以使用 Okta 为企业配置 SAML SSO。 适用于企业帐户的 SCIM 仅适用于企业托管用户。 有关详细信息,请参阅“使用 Okta 为企业配置 SAML 单一登录”和“使用 Okta 为企业托管用户配置 SCIM 配置”。

在 Okta 中添加 GitHub Enterprise Cloud 应用程序

  1. 在应用程序名称下,单击“登录”。 Okta 应用程序的“登录”选项卡的屏幕截图 1. 在“登录方法”下,单击“查看设置说明”。
  2. 按照“如何配置 SAML 2.0”指南,使用登录 URL、发行机构 URL 和公共证书在 GitHub 上启用并测试 SAML SSO。 有关详细信息,请参阅“为组织启用和测试 SAML 单一登录”。

在 Okta 中使用 SCIM 配置访问配置

若要将 SCIM 用于你的组织,必须使用第三方拥有的 OAuth App。 OAuth App 必须由特定 GitHub 用户授权,然后代表该用户执行操作。 如果上次授权此 OAuth App 的用户离开或者被从组织中移除,SCIM 将停止工作。 为避免此问题,我们建议创建一个专用用户帐户来配置 SCIM。 此用户帐户必须是组织所有者,并且将使用许可证。

  1. 使用组织所有者的帐户登录到 GitHub.com,理想情况下仅用于 SCIM 配置。

  2. 若要为组织创建活动的 SAML 会话,请导航到 https://github.com/orgs/ORGANIZATION-NAME/sso。 有关详细信息,请参阅“关于通过 SAML 单一登录进行身份验证”。

  3. 导航到 Okta。

  4. 在左侧边栏中,使用“应用程序”下拉列表并单击“应用程序” 。 1. 在应用程序列表中,单击为使用 GitHub Enterprise Cloud 的组织所创建的应用程序的标签。 1. 在应用程序名称下,单击“预配”。 Okta 应用程序的“预配”选项卡的屏幕截图 1. 单击“配置 API 集成”。 1. 选择“启用 API 集成”。

  5. 单击“使用 GitHub Enterprise Cloud 进行身份验证 - 组织”。

  6. 在组织名称右侧,单击“授权”。

    用于授权 Okta SCIM 集成访问组织的“授权”按钮

  7. 单击“授权 OktaOAN”。

  8. 单击“保存” 。 1. 为避免同步错误并确认用户已启用 SAML 且拥有 SCIM 关联标识,建议你审核组织的用户。 有关详细信息,请参阅“排除组织的标识和访问管理故障”。

  9. 在“预配到应用”右侧,单击“编辑”。

    Okta 应用程序预配选项的“编辑”按钮的屏幕截图

  10. 在“创建用户”、“更新用户属性”和“停用用户”的右侧,选择“启用” 。

    “创建用户”、“更新用户属性”和“停用用户”选项的“启用”复选框的屏幕截图

  11. 单击“保存” 。

延伸阅读