Skip to main content

此版本的 GitHub Enterprise 将停止服务 2023-01-18. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

关于企业 IAM 的 SAML

可以使用 SAML 单一登录 (SSO) 集中管理对 your GitHub Enterprise Server instance 的访问权限。

关于your GitHub Enterprise Server instance 上的 SAML SSO

SAML SSO 允许人员通过外部系统进行身份验证和访问 your GitHub Enterprise Server instance,以便进行标识管理。

SAML 是一种基于 XML 的身份验证和授权标准。 为 your GitHub Enterprise Server instance 配置 SAML 时,用于身份验证的外部系统称为标识提供者 (IdP)。 实例充当 SAML 服务提供程序 (SP)。 有关 SAML 标准的详细信息,请参阅 Wikipedia 上的安全断言标记语言

有关 GitHub Enterprise Server 上 SAML SSO 的配置的详细信息,请参阅“为企业配置 SAML 单一登录”。

如果将某个用户从 IdP 中移除,还必须手动挂起他们。 否则,帐户的所有者可以继续使用访问令牌或 SSH 密钥进行身份验证。 有关详细信息,请参阅“挂起和取消挂起用户”。

使用 SAML 或 CAS 时,双重身份验证在 GitHub Enterprise Server 设备上不受支持或无法管理,但受外部身份验证提供商的支持。 在组织上无法实施双重身份验证。 有关对组织强制实施双因素身份验证的详细信息,请参阅“在你的组织中要求进行双因素身份验证”。

If you want to allow authentication for some people who don't have an account on your external authentication provider, you can allow fallback authentication to local accounts on your GitHub Enterprise Server instance. For more information, see "Allowing built-in authentication for users outside your provider."

支持的 IdP

GitHub Enterprise Server 支持 SAML SSO 与采用 SAML 2.0 标准的 IdP 一起使用。 有关详细信息,请参阅 OASIS 网站上的 SAML Wiki

GitHub 官方支持和内部测试以下 IdP。

  • Active Directory 联合身份验证服务 (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

GitHub Enterprise Server 不支持 SAML 单次注销。 要终止活动的 SAML 会话,用户应该直接在 SAML IdP 上注销。

延伸阅读