About SAML for enterprise IAM

You can use SAML single sign-on (SSO) to centrally manage access to votre instance GitHub Enterprise Server.

Dans cet article

About SAML SSO for votre instance GitHub Enterprise Server

SAML SSO allows people to authenticate and access votre instance GitHub Enterprise Server through an external system for identity management.

SAML is an XML-based standard for authentication and authorization. When you configure SAML for votre instance GitHub Enterprise Server, the external system for authentication is called an identity provider (IdP). Your instance acts as a SAML service provider (SP). For more information about the SAML standard, see Security Assertion Markup Language on Wikipedia.

Remarque : Vous pouvez utiliser SAML ou LDAP, mais pas les deux.

Lorsque vous utilisez SAML ou CAS, l’authentification à deux facteurs n’est pas prise en charge ou gérée sur l’instance GitHub Enterprise Server, mais elle peut être prise en charge par le fournisseur d’authentification externe. L’authentification à 2 facteurs n’est pas disponible pour les organisations. Pour plus d’informations sur l’application de l’authentification à 2 facteurs dans les organisations, consultez « Exiger l’authentification à deux facteurs dans votre organisation ».

After you configure SAML, people who use votre instance GitHub Enterprise Server must use a personal access token to authenticate API requests. For more information, see "Gestion de vos jetons d'accès personnels."

Si vous souhaitez autoriser l’authentification pour certaines personnes qui n’ont pas de compte sur votre fournisseur d’authentification externe, vous pouvez autoriser l’authentification de secours au niveau des comptes locaux sur votre instance GitHub Enterprise Server. Pour plus d’informations, consultez « Allowing built-in authentication for users outside your provider ».

For more information about the configuration of SAML SSO on GitHub Enterprise Server, see "Configuring SAML single sign-on for your enterprise." To learn how to configure both authentication and user provisioning for votre instance GitHub Enterprise Server, see the articles for individual IdPs in "Using SAML for enterprise IAM."

About creation of user accounts

Par défaut, votre fournisseur d’identité ne communique pas avec GitHub Enterprise Server automatiquement lorsque vous attribuez ou désattribuez l’application. GitHub Enterprise Server crée un compte d’utilisateur en utilisant le provisionnement juste-à-temps (JIT) SAML la première fois qu’une personne accède à GitHub Enterprise Server et se connecte en s’authentifiant via votre fournisseur d’identité. Vous devrez peut-être notifier manuellement les utilisateurs lorsque vous accordez l’accès à GitHub Enterprise Server, et vous devez manuellement désactiver le compte d’utilisateur sur GitHub Enterprise Server lors de la désintégration.

Sinon, au lieu de l’approvisionnement JIT SAML, vous pouvez utiliser SCIM pour créer ou suspendre des comptes d’utilisateur et accorder ou refuser l’accès à votre instance GitHub Enterprise Server automatiquement après avoir attribué ou désattribué l’application sur votre IdP. SCIM pour GitHub Enterprise Server est actuellement en version bêta privée et peut faire l’objet de modifications. For more information, see "Configuring user provisioning with SCIM for your enterprise."

Avec le provisionnement JIT, si vous supprimez un utilisateur de votre IdP, vous devez également suspendre manuellement le compte de l’utilisateur sur votre instance GitHub Enterprise Server. À défaut, le propriétaire du compte pourra toujours s’authentifier avec des jetons d’accès ou des clés SSH. Pour plus d’informations, consultez « Suspension et réhabilitation d’utilisateurs ».

Supported IdPs

GitHub Enterprise Server prend en charge l’authentification unique (SSO) SAML avec des fournisseurs d’identité qui implémentent la norme SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.

GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité suivants.

  • Microsoft services de fédération Active Directory (AD FS)
  • Microsoft Entra ID (actuellement appelé Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

If your IdP supports encrypted assertions, you can configure encrypted assertions on GitHub Enterprise Server for increased security during the authentication process.

GitHub Enterprise Server ne prend pas en charge la déconnexion unique SAML. Pour mettre fin à une session SAML active, les utilisateurs doivent se déconnecter directement sur votre fournisseur d’identité SAML.

Further reading