Enterprise Managed Users について

この記事の内容

ID プロバイダーから GitHub 上のエンタープライズ メンバーの ID とアクセスを一元管理することができます。

Enterprise Managed Users について

Enterprise Managed Users を使用すると、ID プロバイダー (IdP) を使用して Enterprise メンバーのユーザー アカウントを制御できます。 IdP で GitHub Enterprise Managed User アプリケーションに割り当てられたユーザーは、GitHub の新しいユーザー アカウントとしてプロビジョニングされ、Enterprise に追加されます。 IdP からユーザー アカウントのユーザー名、プロファイル データ、チーム メンバーシップ、リポジトリへのアクセスを制御します。

IdP では、各マネージド ユーザー アカウントに、ユーザー、Enterprise 所有者、または課金マネージャーのロールを付与できます。 マネージド ユーザー アカウントは、Enterprise 内の Organization を所有でき、他のマネージド ユーザー アカウントを Organization とその中の Team に追加できます。 詳細については、「Enterprise におけるロール」および「Organizationについて」を参照してください。

企業で OIDC SSO を使うと、GitHub は IdP の条件付きアクセス ポリシー (CAP) の IP 条件を自動的に使って、メンバーが IP アドレスを変更したとき、personal access token または SSH キーが使われるたびに、GitHub でのユーザー操作を検証します。 詳しくは、「IdP の条件付きアクセス ポリシーのサポートについて」を参照してください。

マネージド ユーザー アカウントに、Enterprise 内のリポジトリへのアクセス権と、そこに投稿する機能を付与できますが、マネージド ユーザー アカウントでは、パブリック コンテンツを作成したり、残りの GitHub で他のユーザー、Organization、Enterprise と共同作業を行ったりすることはできません。 詳しい情報については、「マネージド ユーザー アカウントの機能と制限」を参照してください。

Enterprise のマネージド ユーザー アカウントのユーザー名とそのプロファイル情報 (表示名やメール アドレスなど) は、IdP によって設定され、ユーザー自身が変更することはできません。 詳細については、「ユーザー名とプロファイル情報」を参照してください。

Enterprise 所有者は、GitHub に対するマネージド ユーザー アカウントのすべてのアクションを監査できます。 詳しくは、「Enterprise の監査ログ イベント」を参照してください。

Enterprise Managed Users を使用するには、Enterprise Managed Users を有効にした別の種類の Enterprise アカウントが必要です。 このアカウントの作成について詳しくは、「Enterprise Managed Users の概要」をご覧ください。

注: GitHub Enterprise Cloud を使った ID とアクセスの管理には複数のオプションがあるので、Enterprise Managed Users はすべてのお客様にとって最適なソリューションではありません。 Enterprise Managed Users がお客様の企業に適しているかどうかについては、「Enterprise に最適な認証方法を特定する」を参照してください。

Organization メンバーシップの管理について

Organization メンバーシップは、手動で管理することも、IdP グループを使用して自動的に更新することもできます。 IdP を使用して Organization メンバーシップを管理するには、メンバーを IdP グループに追加し、IdP グループを Organization 内の Team に接続する必要があります。 組織およびチームのメンバーシップを自動的に管理する方法について詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

Enterprise によって所有されている Organization にメンバーを追加する方法によって、Organization からメンバーを削除する方法が決定されます。

  • メンバーを手動で Organization に追加した場合、手動で削除する必要があります。 IdP 上の GitHub Enterprise Managed User アプリケーションからユーザーの割り当て解除を行うと、ユーザーは停止されますが、Organization から削除されません。
  • Organization 内の 1 つ以上の Team にマップされた IdP グループに追加されたために、ユーザーが Organization のメンバーになった場合、Organization に関連付けられている "すべて" のマップされた IdP グループからユーザーを削除すると、ユーザーは Organization から削除されます。__

メンバーが Organization に追加された方法を確認するには、メンバー リストを種類でフィルター処理できます。 詳しくは、「Enterprise の人を表示する」を参照してください。

ID プロバイダーのサポート

ID プロバイダーSAMLOIDC
Azure Active Directory
Okta
PingFederate (パブリック ベータ)

注: Enterprise Managed Users では、SAML と SCIM の両方に 1 つの IdP を使用する必要があります。 SCIM を含む IdP のバージョンを購入したことを確認します。

マネージド ユーザー アカウントの機能と制限

マネージド ユーザー アカウントで投稿できるのは、その Enterprise 内のプライベートおよび内部リポジトリと、そのユーザー アカウントによって所有されているプライベート リポジトリのみです。 マネージド ユーザー アカウントには、より広範な GitHub コミュニティへの読み取り専用アクセス権が必要です。 ユーザーとコンテンツに対するこれらの可視性とアクセスの制限は、API 要求を含むすべての要求に適用されます。

  • マネージド ユーザー アカウント は ID プロバイダーのみを使って認証し、パスワードや 2 要素認証の方法が GitHub に保存されることはありません。 その結果、機密性の高いアクションを実行するときに sudo のプロンプトが表示されることはありません。 詳しくは、「Sudo モード」を参照してください。
  • マネージド ユーザー アカウントを Enterprise 外部の Organization またはリポジトリに招待することも、マネージド ユーザー アカウントを他の Enterprise に招待することもできません。
  • マネージド ユーザー アカウントと作成されたコンテンツは、その Enterprise の他のメンバーにのみ表示されます。
  • 他の GitHub ユーザーは、マネージド ユーザー アカウントを表示またはメンションしたり、共同作業に招待したりすることはできません。
  • マネージド ユーザー アカウント で GitHub.com のすべてのパブリック リポジトリを表示することはできますが、次のどの方法でも Enterprise の外部にあるリポジトリを操作することはできません。
    • コードをリポジトリにプッシュする
    • リポジトリ内に issue または pull request を作成する
    • リポジトリ内でディスカッションを作成するか、ディスカッションにコメントする
    • issue や pull request にコメントするか、コメントにリアクションを追加する
    • リポジトリの star 付け、監視、フォークを行う
  • マネージド ユーザー アカウントでは、gists を作成したり、gists に対してコメントしたりすることはできません。
  • マネージド ユーザー アカウントでは、Enterprise 外部のユーザーをフォローできません。
  • マネージド ユーザー アカウントでは、GitHub Actions のスターター ワークフローを作成できません。
  • マネージド ユーザー アカウントでは、そのユーザー アカウントに GitHub Apps をインストールできません。
  • アプリが組織のアクセス許可を要求しておらず、マネージド ユーザー アカウント がアプリのアクセス許可を付与したリポジトリへの管理者アクセス権を持っている場合、マネージド ユーザー アカウント はリポジトリに GitHub App をインストールできます。
  • マネージド ユーザー アカウント は、マネージド ユーザー アカウント が組織のオーナーである場合、組織に GitHub App をインストールできます。
  • ユーザー アカウントによって所有されるリポジトリをマネージド ユーザー アカウントで作成できるかどうかを選ぶことができます。 詳しくは、「Enterprise でリポジトリ管理ポリシーを適用する」を参照してください。
  • ユーザー アカウントによって所有されるリポジトリの作成をマネージド ユーザー アカウントに許可した場合、所有できるのはプライベート リポジトリのみであり、他のエンタープライズ メンバーを招待して共同作業を行うことができるのは、ユーザー所有のリポジトリのみです。
  • マネージド ユーザー アカウント では、エンタープライズの外部からリポジトリをフォークできません。 マネージド ユーザー アカウント では、エンタープライズ ポリシーで指定されているように、エンタープライズ内の組織が所有するプライベート リポジトリまたは内部リポジトリを、そのユーザー アカウント名前空間またはエンタープライズが所有する他の組織にフォークできます。
  • マネージド ユーザーを含む Enterprise が所有する Organization では、Organization および Enterprise リポジトリの可視性の設定に応じて、プライベートおよび内部リポジトリのみを作成できます。
  • 外部のコラボレーターは、Enterprise Managed Users ではサポートされていません。
  • マネージド ユーザー アカウントは、GitHub Pages の使用が制限されます。 詳しくは、「GitHub Pages について」を参照してください。
  • マネージド ユーザー アカウント は、組織または企業が所有し、費用を負担している codespace のみを作成して使用できます。 つまり、マネージド ユーザー アカウント は:
    • 組織が GitHub Codespaces の支払いを行える場合、組織が所有するリポジトリ、またはこれらのリポジトリのフォークに対して codespace を作成できます。 詳しくは、「組織内の codespace を誰が所有し、支払うかの選択」を参照してください。
    • 組織が所有するリポジトリのフォーク以外の個人リポジトリに対して、組織外のリポジトリに対して、または GitHub の GitHub Codespaces 用公開テンプレートから、codespace を作成できません。
    • テンプレートから作成した codespace を新しいリポジトリに発行できません。

Enterprise Managed Users の概要

お客様の開発者が GitHub Enterprise Cloud と Enterprise Managed Users を使用できるようにするには、お客様が一連の構成手順を実行する必要があります。

  1. Enterprise Managed Users を使用するには、Enterprise Managed Users を有効にした別の種類の Enterprise アカウントが必要です。 Enterprise Managed Users を試用するか、既存の Enterprise から移行するためのオプションについて検討するには、GitHub の営業チームにお問い合わせください。

    GitHub セールス チームの担当者が、新しい マネージド ユーザーを含む Enterprise を作成するために協力します。 Enterprise を設定するユーザーのメール アドレスと、Enterprise メンバーのユーザー名のサフィックスとして使用されるショートコードを指定する必要があります。 短いコードは、エンタープライズに固有の 3 から 8 文字の英数字文字列にする必要があります。特殊文字を含めることはできません。 詳細については、「ユーザー名とプロファイル情報」を参照してください。

  2. Enterprise を作成すると、GitHub からメールが届き、Enterprise のセットアップ ユーザーのパスワードを選択するよう求められます。このユーザーは、Enterprise の最初の所有者になります。 パスワードを設定し、ユーザーの回復コードを保存する際には、シークレットまたはプライベートブラウジングウィンドウを使用します。 セットアップ ユーザーは、エンタープライズのシングル サインオンと SCIM プロビジョニング統合を構成するためにのみ使用されます。 SSO 復旧コードを使用しない限り、SSO が構成されると、企業または組織の設定へのアクセスは許可されなくなります。

    セットアップ ユーザーのユーザー名は、Enterprise のショートコードにサフィックス _admin 例えば、fabrikam_admin が付きます。 後でセットアップ ユーザーとしてサインインする必要がある場合は、任意のログイン ページでユーザー名とパスワードを入力できます。 便宜上、ログイン ページへのリンクも SSO ページに表示されます。

    セットアップ ユーザーのパスワードをリセットする必要がある場合、GitHub Support ポータル から GitHub Support に問い合わせます。

  3. セットアップ ユーザーとしたログインしたら、2 要素認証を有効にすることをお勧めします。 セットアップ ユーザーのパスワードと 2 要素資格情報を使用して sudo モードに入ることもできます。これは、機密性の高いアクションを実行するために必要です。 詳細については、「2 要素認証を設定する」および「Sudo モード」を参照してください。

  4. まず、メンバーが認証する方法を構成します。 Azure Active Directory を ID プロバイダーとして使っている場合、OpenID Connect (OIDC) と Security Assertion Markup Language (SAML) のいずれかを選択できます。 条件付きアクセス ポリシー (CAP) のサポートを含む OIDC をお勧めします。 マネージド ユーザー アカウント が 1 つのテナントからプロビジョニングされた複数のエンタープライズが必要な場合は、最初のエンタープライズ以降、それぞれに SAML を使用する必要があります。 Okta や PingFederate (プライベート ベータ) などの別の ID プロバイダーを使っている場合は、メンバーの認証に SAML を使うことができます。

    まず、選択した認証方法のガイドを参照してください。

  5. SSO を構成したら、SCIM のプロビジョニングを構成できます。 SCIM は、ID プロバイダーを使って GitHub.com にマネージド ユーザー アカウントを作成する方法です。 SCIM のプロビジョニングについて詳しくは、「エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。

  6. 認証とプロビジョニングが構成されたら、IdP グループを Team と同期することで、マネージド ユーザー アカウントの Organization メンバーシップの管理を開始できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

Enterprise のメンバーが 1 つのワークステーションを使って、マネージド ユーザー アカウントと個人アカウントの両方から、GitHub.com のリポジトリに投稿する必要がある場合は、サポートを提供できます。 詳しくは、「GitHub.com で複数のユーザー アカウントを持つ開発者をサポートする」をご覧ください。

マネージド ユーザー アカウントとして認証を行う

マネージド ユーザー アカウントは、ID プロバイダーを介して認証を行う必要があります。 マネージド ユーザー アカウントは、認証を行うために、IdP アプリケーション ポータルにアクセスするか、GitHub.com のログイン ページを使用できます。

既定では、認証されていないユーザーが Enterprise Managed Users を使用する Enterprise にアクセスしようとすると、GitHub によって 404 エラーが表示されます。 Enterprise 所有者は、必要に応じて、404 の代わりにシングル サインオン (SSO) への自動リダイレクトを有効にすることができます。 詳しくは、「Enterprise でセキュリティ設定のポリシーを適用する」を参照してください。

SAML 構成エラーまたは ID プロバイダー (IdP) の問題によって SAML SSO を使用できない場合は、復旧コードを使用してエンタープライズにアクセスできます。 詳細については、「Enterprise のリカバリ コードの管理」を参照してください。

GitHub.com

を介してマネージド ユーザー アカウントとして認証を行う

  1. https://github.com/login に移動します。
  2. [Username or email address] テキスト ボックスに、アンダースコアとショートコードを含むユーザー名を入力します。 フォームでユーザー名が認識されると、フォームは更新されます。 このフォームでパスワードを入力する必要はありません。
  3. ID プロバイダーに進むには、 [Sign in with your identity provider] をクリックします。

ユーザー名とプロファイル情報

GitHub Enterprise Cloud は、IdP から提供された識別子を正規化することにより、各自のユーザー名を自動的に作成します。 詳しくは、「外部認証のユーザー名に関する考慮事項」を参照してください。

IdP から提供された識別子の一意の部分が正規化中に削除されると、ユーザーをプロビジョニングするときに競合が発生する場合があります。 ユーザー名の競合が原因でユーザーをプロビジョニングできない場合は、IdP によって提供されるユーザー名を変更する必要があります。 詳しくは、「外部認証のユーザー名に関する考慮事項」を参照してください。

注: 各ユーザー名を作成するときに GitHub によって IdP から提供された正規化された識別子にアンダースコアと短いコードが追加されるため、各 マネージド ユーザーを含む Enterprise 内でのみ競合が発生する可能性があります。 マネージド ユーザー アカウント では、IdP の識別子とメール アドレスを、そのエンタープライズ外の GitHub.com 上の他のユーザー アカウントと共有することができます。

マネージド ユーザー アカウントのプロファイル名とメール アドレスも IdP によって提供されます。 マネージド ユーザー アカウントでは、GitHub 上のプロファイル名またはメール アドレスを変更できません。IdP が提供できるメール アドレスは 1 つのみです。

GitHub.com で複数のユーザー アカウントを持つ開発者をサポートする

Team のユーザーは、マネージド ユーザーを含む Enterprise の外部にある GitHub.com のリソースに投稿することが必要になる場合があります。 たとえば、会社のオープンソース プロジェクト用に別のエンタープライズを保持したい場合があります。 マネージド ユーザー アカウントではパブリック リソースに投稿できないため、ユーザーはこの作業のために個別の個人アカウントを維持する必要があります。

1 つのワークステーションを使用して GitHub.com で 2 つのユーザー アカウントから投稿する必要があるユーザーは、Git を設定してプロセスを簡略化できます。 詳しくは、「複数のアカウントの管理」を参照してください。