Configuring SAML single sign-on for your enterprise

You can control and secure access to resources like repositories, issues, and pull requests within your enterprise's organizations by enforcing SAML single sign-on (SSO) through your identity provider (IdP).

Qui peut utiliser cette fonctionnalité ?

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Dans cet article

Remarque : si votre entreprise utilise Enterprise Managed Users, vous devez suivre un autre processus pour configurer l’authentification unique SAML. Pour plus d’informations, consultez « Configuration de l’authentification unique SAML pour Enterprise Managed Users ».

About SAML SSO

L’authentification unique SAML donne aux propriétaires d’organisation et d’entreprise utilisant GitHub Enterprise Cloud un moyen de contrôler et de sécuriser l’accès aux ressources de l’organisation, comme les référentiels, les problèmes et les demandes de tirage.

Si vous configurez l’authentification unique SAML, les membres de votre organisation continueront de se connecter à leurs comptes personnels sur GitHub.com. Quand un membre accède à la plupart des ressources au sein de votre organisation, GitHub le redirige vers votre fournisseur d’identité à des fins d’authentification. Une fois l’authentification réussie, votre fournisseur d’identité redirige le membre vers GitHub. Pour plus d’informations, consultez « À propos de l’authentification unique SAML ».

Remarque : l’authentification unique SAML ne remplace pas le processus de connexion normal pour GitHub. Sauf si vous utilisez Enterprise Managed Users, les membres continueront de se connecter à leurs comptes personnels sur GitHub.com, et chaque compte personnel sera lié à une identité externe dans votre fournisseur d’identité.

For more information, see "À propos de la gestion des identités et des accès avec l’authentification unique SAML."

Les propriétaires d’entreprise peuvent activer une authentification unique (SSO) SAML et une authentification centralisée via un fournisseur d’identité SAML dans toutes les organisations appartenant à un compte d’entreprise. Une fois que vous avez activé SSO SAML pour votre compte d’entreprise, SSO SAML est appliqué pour toutes les organisations appartenant à votre compte d’entreprise. Tous les membres devront s’authentifier à l’aide de SSO SAML pour accéder aux organisations dont ils sont membres, et les propriétaires d’entreprise devront s’authentifier à l’aide de SSO SAML lors de l’accès à un compte d’entreprise.

Pour accéder aux ressources de chaque organisation sur GitHub Enterprise Cloud, le membre doit disposer d’une session SAML active dans son navigateur. Pour accéder aux ressources protégées de chaque organisation à l’aide de l’API et du Git, le membre doit utiliser un personal access token ou une clé SSH dont il a autorisé l’utilisation avec l’organisation. Les propriétaires d’entreprise peuvent à tout moment afficher et révoquer l’identité liée d’un membre, les sessions actives ou les informations d’identification autorisées. For more information, see "Visualisation et gestion de l’accès SAML d’un utilisateur à votre entreprise."

Remarque : Vous ne pouvez pas configurer SCIM pour votre compte d’entreprise, sauf si votre compte a été créé pour Enterprise Managed Users. Pour plus d’informations, consultez « À propos d’Enterprise Managed Users ».

Si vous n’utilisez pas Enterprise Managed Users, et que vous souhaitez utiliser le provisionnement SCIM, vous devez configurer l’authentification unique SAML au niveau de l’organisation, et non au niveau de l’entreprise. Pour plus d’informations, consultez « À propos de la gestion des identités et des accès avec l’authentification unique SAML ».

Lorsque l’authentification unique (SSO) SAML est désactivée, toutes les identités externes liées sont supprimées de GitHub Enterprise Cloud.

Après avoir activé l’authentification unique SAML, il peut être nécessaire de révoquer et de réautoriser les autorisations OAuth app et GitHub App avant de pouvoir accéder à l’organisation. Pour plus d’informations, consultez « Autorisation des applications OAuth ».

Supported identity providers

GitHub Enterprise Cloud prend en charge l’authentification unique (SSO) SAML avec des fournisseurs d’identité qui implémentent la norme SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.

GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité suivants.

  • Microsoft services de fédération Active Directory (AD FS)
  • Microsoft Entra ID (actuellement appelé Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

For more information about connecting Microsoft Entra ID (previously known as Azure AD) to your enterprise, see Tutorial: Microsoft Entra SSO integration with GitHub Enterprise Cloud - Enterprise Account in Microsoft Docs.

Enforcing SAML single-sign on for organizations in your enterprise account

When you enforce SAML SSO for your enterprise, the enterprise configuration will override any existing organization-level SAML configurations. Il existe des considérations particulières à prendre en compte lors de l’activation de l’authentification unique (SSO) SAML pour votre compte d’entreprise si l’une des organisations authentification appartenant au compte d’entreprise est déjà configurée pour utiliser la SSO SAML. For more information, see "Basculement de votre configuration SAML d’une organisation à un compte d’entreprise."

When you enforce SAML SSO for an organization, GitHub removes any members of the organization that have not authenticated successfully with your SAML IdP. When you require SAML SSO for your enterprise, GitHub does not remove members of the enterprise that have not authenticated successfully with your SAML IdP. The next time a member accesses the enterprise's resources, the member must authenticate with your SAML IdP.

For more detailed information about how to enable SAML using Okta, see "Configuration de l’authentification unique SAML pour votre entreprise à l’aide d’Okta."

  1. Dans le coin supérieur droit de GitHub, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  5. Si vous voulez voir la configuration actuelle de toutes les organisations dans le compte d’entreprise avant de changer le paramètre, cliquez sur Voir les configurations actuelles de vos organisations.

    Capture d’écran d’une stratégie dans les paramètres d’entreprise. Un lien, intitulé « Voir les configurations actuelles de vos organisations », est mis en évidence par un contour orange.

  6. Under "SAML single sign-on", select Require SAML authentication.

  7. In the Sign on URL field, type the HTTPS endpoint of your IdP for single sign-on requests. This value is available in your IdP configuration.

  8. Optionally, in the Issuer field, type your SAML issuer URL to verify the authenticity of sent messages.

  9. Under Public Certificate, paste a certificate to verify SAML responses. This is the public key corresponding to the private key used to sign SAML responses.

    To find the certificate, refer to the documentation for your IdP. Some IdPs call this an X.509 certificate.

  10. Sous votre certificat public, à droite des méthodes de signature et de synthèse actuelles, cliquez sur .

    Capture d’écran de la méthode de signature et de la méthode de synthèse actuelles dans les paramètres SAML. L’icône représentant un crayon est mise en évidence à l’aide d’un rectangle orange.

  11. Sélectionnez les menus déroulants Méthode de signature et Méthode de synthèse, puis cliquez sur l’algorithme de hachage utilisé par votre émetteur SAML.

  12. Before enabling SAML SSO for your enterprise, to ensure that the information you've entered is correct, click Test SAML configuration . Ce test utilise l’authentification lancée par le fournisseur de services (lancée par le SP). Il doit réussir pour que vous puissiez enregistrer les paramètres SAML.

  13. Click Save.

  14. Pour vous assurer que vous pouvez toujours accéder à votre entreprise sur GitHub.com si votre fournisseur d’identité n’est pas disponible à l’avenir, cliquez sur Télécharger, Imprimer ou Copier pour enregistrer vos codes de récupération. Pour plus d’informations, consultez « Téléchargement des codes de récupération de votre compte d’entreprise pour l’authentification unique ».

Further reading