Skip to main content

IdP の条件付きアクセス ポリシーのサポートについて

Enterprise が OIDC SSO を使っている場合、GitHub は、お客様の IdP の条件付きアクセス ポリシー (CAP) を使って、Enterprise とそのリソースへのアクセスを検証できます。

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳細については、「Enterprise Managed Users について」を参照してください。

メモ: Enterprise Managed Users に対する OpenID Connect (OIDC) と条件付きアクセス ポリシー (CAP) のサポートは、Azure AD でのみ使用できます。

条件付きアクセス ポリシーのサポートについて

When your enterprise uses OIDC SSO, GitHub will automatically use your IdP's conditional access policy (CAP) IP conditions to validate user interactions with GitHub, when members change IP addresses, and each time a personal access token or SSH key is used.

GitHub Enterprise Cloud では、OIDC SSO が有効になっている enterprise with managed users の CAP がサポートされます。 GitHub Enterprise Cloud によって IdP の IP 条件が適用されますが、デバイスのコンプライアンス条件は適用できません。 Enterprise 所有者は、GitHub Enterprise Cloud の IP 許可リストではなく、この IP 許可リスト構成を使用することを選ぶことができ、OIDC SSO が構成されたらそれを行うことができます。 IP 許可リストについて詳しくは、「IP 許可リストを使用したネットワーク トラフィックの制限」および「Organization の許可された IP アドレスの管理」をご覧ください。

OIDC と Enterprise Managed Users の使用の詳細については、「エンタープライズ マネージド ユーザー向けの OIDC の構成」と「SAML から OIDC への移行」を参照してください。

統合と自動化に関する考慮事項

CAP に対する検証のために、GitHub から IdP に送信元の IP アドレスが送信されます。 アクションとアプリが IdP の CAP によってブロックされないようにするには、構成を変更する必要があります。

Warning: If you use GitHub Enterprise Importer to migrate an organization from your GitHub Enterprise Server instance, make sure to use a service account that is exempt from Azure AD's CAP otherwise your migration may be blocked.

GitHub Actions

personal access token を使用するアクションは、IdP の CAP によってブロックされる可能性が高いです。 personal access tokenは、サービス アカウントを使って作成し、IdP の CAP で IP 制御の対象外とすることをお勧めします。

サービス アカウントを使用できない場合、personal access tokenを使うアクションのブロックを解除する別のオプションとして、GitHub Actions で使われる IP 範囲を許可することができます。 詳細については、「GitHub の IP アドレスについて」を参照してください。

GitHub Apps と OAuth Apps

GitHub Apps と OAuth Apps がメンバーの代理で要求を行うと、検証のために GitHub から IdP にアプリのサーバーの IP アドレスが送信されます。 アプリのサーバーの IP アドレスが IdP の CAP によって検証されない場合、要求は失敗します。

使いたいアプリの所有者に連絡し、その IP の範囲を問い合わせて、その IP の範囲からのアクセスを許可するように IdP の CAP を構成することができます。 所有者に連絡できない場合は、IdP のサインイン ログを確認し、要求に出現する IP アドレスを確認し、それらのアドレスを許可リストに登録できます。

すべてのエンタープライズのアプリに対してすべての IP 範囲を許可しない場合は、インストールされている GitHub Apps と承認された OAuth Apps を IdP 許可リストから除外することもできます。 その場合、これらのアプリは発信元 IP アドレスに関係なく、動作し続けます。 詳細については、「Enforcing policies for security settings in your enterprise」 (Enterprise でセキュリティ設定のポリシーを適用する) を参照してください。