À propos de SSO SAML
L’authentification unique SAML vous permet de contrôler et de sécuriser de manière centralisée l’accès à your GitHub Enterprise Server instance à partir de votre fournisseur d’identité SAML. Quand un utilisateur non authentifié accède à your GitHub Enterprise Server instance dans un navigateur, GitHub Enterprise Server redirige l’utilisateur vers votre fournisseur d’identité SAML pour l’authentification. Une fois que l’utilisateur s’est authentifié avec un compte sur le fournisseur d’identité, celui-ci redirige l’utilisateur vers your GitHub Enterprise Server instance. GitHub Enterprise Server valide la réponse de votre IdP, puis accorde l’accès à l’utilisateur.
Une fois qu’un utilisateur s’est authentifié correctement sur votre fournisseur d’identité, la session SAML de l’utilisateur pour your GitHub Enterprise Server instance est active dans le navigateur pendant 24 heures. Après 24 heures, l’utilisateur doit s’authentifier à nouveau auprès de votre fournisseur d’identité.
Avec le provisionnement JIT, si vous supprimez un utilisateur de votre IdP, vous devez également suspendre manuellement le compte de l’utilisateur sur your GitHub Enterprise Server instance. À défaut, le propriétaire du compte pourra toujours s’authentifier avec des jetons d’accès ou des clés SSH. Pour plus d’informations, consultez « Suspension et rétablissement d’utilisateurs ».
Fournisseurs d’identité pris en charge
GitHub Enterprise Server prend en charge l’authentification unique (SSO) SAML avec des fournisseurs d’identité qui implémentent la norme SAML 2.0. Pour plus d’informations, consultez le Wiki SAML sur le site web OASIS.
GitHub prend officiellement en charge et teste en interne les fournisseurs d’identité suivants.
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Configuration d’une SSO SAML
Vous pouvez activer ou désactiver l’authentification SAML pour your GitHub Enterprise Server instance ou modifier une configuration existante. Vous pouvez afficher et modifier les paramètres d’authentification pour GitHub Enterprise Server dans la console de gestion. Pour plus d’informations, consultez « Accès à la console de gestion ».
Remarque : GitHub vous recommande vivement de vérifier toute nouvelle configuration de l’authentification dans un environnement intermédiaire. Une configuration incorrecte peut entraîner un temps d’arrêt de your GitHub Enterprise Server instance. Pour plus d’informations, consultez « Configuration d’une instance intermédiaire ».
-
À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur dans le coin supérieur droit de n’importe quelle page.
-
Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.
1. Dans la barre latérale gauche, cliquez sur Management Console .
1. Dans la barre latérale gauche, cliquez sur Authentification.
-
Sélectionnez SAML.
-
Pour autoriser les personnes sans compte sur votre système d’authentification externe à se connecter avec l’authentification intégrée, sélectionnez Autoriser l’authentification intégrée. Pour plus d’informations, consultez « Autorisation de l’authentification intégrée pour les utilisateurs en dehors de votre fournisseur ».
-
Vous pouvez éventuellement activer l’authentification SSO de réponse non sollicitée en sélectionnant Authentification unique initiée par le fournisseur d’identité. Par défaut, GitHub Enterprise Server répond à une demande non sollicitée initiée par un fournisseur d’identité par un
AuthnRequest
retourné à ce dernier.Remarque : Nous vous recommandons de laisser cette valeur non sélectionnée. Cette fonctionnalité doit être activée uniquement dans le rare cas où votre implémentation SAML ne prend pas en charge l’authentification unique initiée par le fournisseur de services, et quand cela vous a été conseillé par le GitHub Enterprise Support.
-
Sélectionnez Désactiver la rétrogradation/promotion de l’administrateur si vous ne souhaitez pas que votre fournisseur SAML détermine les droits d’administrateur pour les utilisateurs de your GitHub Enterprise Server instance.
-
Si vous le souhaitez, pour autoriser your GitHub Enterprise Server instance à recevoir des assertions chiffrées de votre IdP SAML, sélectionnez Exiger des assertions chiffrées. Vous devez vérifier que votre IdP prend en charge les assertions chiffrées et que les méthodes de chiffrement et de transport de clés dans la console de gestion correspondent aux valeurs configurées au niveau de votre IdP. Vous devez également fournir le certificat public de your GitHub Enterprise Server instance à votre IdP. Pour plus d’informations, consultez « Activation des assertions chiffrées ».
-
Dans le champ URL de l’authentification unique, tapez le point de terminaison HTTP ou HTTPS au niveau de votre IdP pour les demandes d’authentification unique. Cette valeur est fournie par la configuration de votre IdP. Si l’hôte est disponible uniquement à partir de votre réseau interne, vous devez peut-être configurer your GitHub Enterprise Server instance pour utiliser des serveurs de noms internes.
-
Dans le champ Émetteur, tapez éventuellement le nom de votre émetteur SAML. Cette action permet de vérifier l’authenticité des messages envoyés à your GitHub Enterprise Server instance.
-
Dans les menus déroulants Méthode de signature et Méthode de synthèse, choisissez l’algorithme de hachage utilisé par votre émetteur SAML pour vérifier l’intégrité des requêtes provenant de your GitHub Enterprise Server instance. Spécifiez le format via le menu déroulant Format de l’identificateur de nom.
-
Sous Certificat de vérification, cliquez sur Choisir un fichier et choisissez un certificat pour valider les réponses SAML de l’IdP.
-
Modifiez les noms d’attributs SAML pour les faire correspondre à votre IdP si nécessaire, ou acceptez les noms par défaut.