Skip to main content

エンタープライズ マネージド ユーザーの OIDC の構成

OpenID Connect (OIDC) シングル サインオン (SSO) を構成し、IdP の条件付きアクセス ポリシー (CAP) のサポートを有効にすることで、GitHub 上のエンタープライズ アカウントへのアクセスを自動的に管理することができます。

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳細については、「Enterprise Managed Users について」を参照してください。

メモ: Enterprise Managed Users に対する OpenID Connect (OIDC) と条件付きアクセス ポリシー (CAP) のサポートは、Azure AD でのみ使用できます。

エンタープライズ マネージド ユーザーの OIDC について

Enterprise Managed Users を使用すると、エンタープライズは ID プロバイダー (IdP) を使用してすべてのメンバーを認証します。 OpenID Connect (OIDC) を使うと、enterprise with managed users の認証を管理することができます。 OIDC SSO の有効化は、GitHub と IdP によって管理される証明書を使ったワンクリックの設定プロセスです。

企業で OIDC SSO を使うと、GitHub は IdP の条件付きアクセス ポリシー (CAP) の IP 条件を自動的に使って、メンバーが IP アドレスを変更したとき、personal access token または SSH キーが使われるたびに、GitHub でのユーザー操作を検証します。詳細については、「IdP の条件付きアクセス ポリシー」を参照してください。

セッションの有効期間と、managed user account で IdP を再認証する必要がある頻度を調整するには、IdP から GitHub に対して発行される ID トークンの有効期間ポリシー プロパティを変更します。 既定の有効期間は 1 時間です。 詳細については、Azure AD ドキュメントの「Microsoft ID プラットフォームでの構成可能なトークンの有効期間」を参照してください。

現在、認証に SAML SSO を使っており、OIDC を使って CAP サポートの恩恵を受けたい場合は、移行パスをたどることができます。 詳細については、「SAML から OIDC への移行」を参照してください。

警告: GitHub Enterprise Importer を使って組織を your GitHub Enterprise Server instance から移行する場合は、Azure AD の CAP が免除されているサービス アカウントを使ってください。そうしないと、移行を実行してもブロックされる可能性があります。

ID プロバイダーのサポート

OIDC のサポートは、Azure Active Directory (Azure AD) を使っているお客様が使用できます。

各 Azure AD テナントは、Enterprise Managed Users との 1 つの OIDC 統合のみをサポートできます。 Azure AD を GitHub 上の複数のエンタープライズに接続する場合は、代わりに SAML を使います。 詳細については、「Enterprise Managed Users の SAML シングル サインオンの構成」を参照してください。

エンタープライズ マネージド ユーザーの OIDC の構成

  1. ユーザー名 @SHORT-CODE_admin を使用して、新しいエンタープライズのセットアップ ユーザーとして GitHub.com にサインインします。

  2. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  3. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  4. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  5. 左サイドバーで、 [認証のセキュリティ] をクリックします。 [Enterprise アカウント設定] サイドバーの **[セキュリティ]** タブ

  6. [Require OIDC single sign-on](OIDC シングル サインオンを必須にする) を選びます。
    [Require OIDC single sign-on](OIDC シングル サインオンを必須にする) チェックボックスを示すスクリーンショット

  7. 設定を続行し、Azure AD にリダイレクトするには、 [Save](保存) をクリックします。

  8. GitHub Enterprise Cloud によって IdP にリダイレクトされたら、サインインしてから指示に従って同意し、GitHub Enterprise Managed User (OIDC) アプリケーションをインストールします。 Azure AD によって OIDC での GitHub Enterprise Managed Users のアクセス許可が要求されたら、 [Organization の代理として同意する] を有効にして、 [同意する] をクリックします。

    警告: GitHub Enterprise Managed User (OIDC) アプリケーションのインストールに同意するには、グローバル管理者権限を持つユーザーとして Azure AD にサインインする必要があります。

    1. 将来的に ID プロバイダーが利用できなくなった場合でも Enterprise にアクセスできるようにするため、 **[ダウンロード]** 、 **[印刷]** 、または **[コピー]** をクリックして回復コードを保存します。 詳細については、「[Enterprise アカウントのシングル サインオン回復用コードをダウンロードする](/admin/identity-and-access-management/managing-recovery-codes-for-your-enterprise/downloading-your-enterprise-accounts-single-sign-on-recovery-codes)」を参照してください。

    回復コードをダウンロード、印刷、またはコピーするボタンのスクリーンショット

プロビジョニングの有効化

OIDC SSO を有効にした後、プロビジョニングを有効にします。 詳細については、「エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。