为企业配置 SAML 单点登录

您可以为企业配置 SAML 单点登录 (SSO),这允许您使用身份提供程序 (IdP) 集中控制 您的企业 的身份验证。

Enterprise owners can configure SAML SSO for an enterprise on GitHub AE.

SAML 单点登录可用于 GitHub Enterprise Cloud 和 GitHub AE。 更多信息请参阅“GitHub's products”。

关于 SAML SSO

SAML SSO 允许您从 SAML IDP 集中控制和安全访问 您的企业。 当未经身份验证的用户在浏览器中访问 您的企业 时,GitHub AE 会将用户重定向到您的 SAML IDP 进行身份验证。 在用户使用 IdP 上的帐户成功进行身份验证后,IdP 会将用户重定向回 您的企业。 GitHub AE 将验证 IdP 的响应,然后授予用户访问权限。

当用户在 IdP 上成功进行身份验证后,用户对 您的企业 的 SAML 会话将在浏览器中激活 24 小时。 24 小时后,用户必须再次使用您的 IdP 进行身份验证。

要使某人成为企业所有者,您必须在 IdP 中委派所有权权限。 在 IdP 用户帐户的 SAML 声明中包含 administrator 属性,其值为 true。 有关企业所有者的更多信息,请参阅“企业中的角色”。

默认情况下,当您分配或取消分配应用程序时,您的 IdP 不会自动与 GitHub AE 通信。 第一次有人浏览 GitHub AE 上的资源并通过 IdP 验证登录时,GitHub AE 创建用户帐户 。 当您授予 GitHub AE 的访问权限时,您可能需要手动通知用户,并且在停用期间必须手动 停用 GitHub AE 上的用户帐户。 当您在 IdP 上分配或取消分配应用程序时,您可以使用 SCIM 在 GitHub.com 上自动预配和解除预配 GitHub AE 的用户帐户和访问。 更多信息请参阅“配置企业的用户预配”。

支持的身份提供程序

GitHub AE 支持 SAML SSO 与采用 SAML 2.0 标准的 IdP 一起使用。 更多信息请参阅 OASIS 网站上的 SAML Wiki

GitHub 已使用以下 IdP 测试 GitHub AE 的 SAML SSO。

  • Azure AD

启用 SAML SSO

您将在初始化过程中输入SAML IdP 的详细信息,以配置 GitHub AE 的身份和访问管理。 更多信息请参阅“初始化 GitHub AE。”

以下 IdP 提供有关为 GitHub AE 配置 SAML SSO 的文档。 如果您的 IdP 未列出,请与您的 IdP 联系,以请求 GitHub AE。

IdP更多信息
Azure AD教程: Microsoft 文档中的“与 GitHub AE 的 Azure Active Directory 单点登录 (SSO) 集成”

在 GitHub AE 的初始化期间,您必须在 IdP 上将 GitHub AE 配置为 SAML 服务提供程序 (SP)。 您必须在 IdP 上输入多个唯一值以将 GitHub AE 配置为有效的 SP。

其他名称描述示例
SP 实体 IDSP URLGitHub AE 顶级 URLhttps://YOUR-GITHUB-AE-HOSTNAME
SP 断言使用者服务 (ACS) URL回复 URLIdP 发送 SAML 响应的 URLhttps://YOUR-GITHUB-AE-HOSTNAME/saml/consume
SP 单点登录 (SSO) URLIdP 开始 SSO 的 URLhttps://YOUR-GITHUB-AE-HOSTNAME/sso

编辑 SAML SSO 配置

如果 IdP 的详细信息发生更改,则需要编辑 您的企业 的 SAML SSO 配置。 例如,如果 IdP 的证书过期,您可以编辑公共证书的值。

:如果您因 GitHub AE 无法与您的 SAML IDP 通信而无法登录企业,您可以联系 GitHub 支持 帮助您访问 GitHub AE SAML SSO 配置。 更多信息请参阅“从 GitHub 支持 获取帮助”。

  1. 在 GitHub AE 的右上角,单击您的个人资料照片,然后单击 Enterprise settings(Enterprise 设置)GitHub AE 上个人资料照片下拉菜单中的"Enterprise settings(企业设置)"

  2. 在企业帐户侧边栏中,单击 Settings(设置)企业帐户侧边栏中的“设置”选项卡

  3. 在左侧边栏中,单击 Security(安全)Security tab in the enterprise account settings sidebar

  4. 在“SAML single sign-on(SAML 单点登录)”下,键入 IdP 的新详细信息。 包含企业 SAML SSO 配置 IdP 详细信息的文本输入字段

  5. (可选)单击 以配置新的签名或摘要方法。 用于更改签名和摘要方法的编辑图标

    • 使用下拉菜单并选择新的签名或摘要方法。 用于选择新签名或摘要方法的下拉菜单
  6. 为确保输入的信息正确,请单击 Test SAML configuration(测试 SAML 配置)"Test SAML configuration(测试 SAML 配置)"按钮

  7. 单击 Save(保存)用于 SAML SSO 配置的"Save(保存)"按钮

  8. (可选)要自动预配和取消预配 您的企业 的用户帐户,请使用 SCIM 重新配置用户预配。 更多信息请参阅“配置企业的用户预配”。

禁用 SAML SSO

警告:如果您对 您的企业 禁用 SAML SSO,则没有现有 SAML SSO 会话的用户无法登录 您的企业。 您的企业 上的 SAML SSO 会话在 24 小时后结束。

:如果您因 GitHub AE 无法与您的 SAML IDP 通信而无法登录企业,您可以联系 GitHub 支持 帮助您访问 GitHub AE SAML SSO 配置。 更多信息请参阅“从 GitHub 支持 获取帮助”。

  1. 在 GitHub AE 的右上角,单击您的个人资料照片,然后单击 Enterprise settings(Enterprise 设置)GitHub AE 上个人资料照片下拉菜单中的"Enterprise settings(企业设置)"

  2. 在企业帐户侧边栏中,单击 Settings(设置)企业帐户侧边栏中的“设置”选项卡

  3. 在左侧边栏中,单击 Security(安全)Security tab in the enterprise account settings sidebar

  4. 在“SAML single sign-on”(SAML 单点登录)下,取消选择 Enable SAML authentication(启用 SAML 身份验证)"Enable SAML authentication(启用 SAML 身份验证)"的复选框

  5. 要禁用 SAML SSO 并要求使用在初始化期间创建的内置用户帐户登录,请单击“Save(保存)”。 用于 SAML SSO 配置的"Save(保存)"按钮

此文档对您有帮助吗?隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。