Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
エンタープライズ管理者

エンタープライズ マネージド ユーザーの SAML シングル サインオンの構成

この記事の内容

Security Assertion Markup Language (SAML) シングル サインオン (SSO) を構成することで、GitHub の Enterprise アカウントへのアクセスを自動的に管理できます。

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳しくは、「Enterprise Managed Users について」を参照してください。

Enterprise Managed Users の SAML シングル サインオンについて

Enterprise Managed Users を使用すると、エンタープライズは企業の ID プロバイダーを使用してすべてのメンバーを認証します。 GitHub ユーザー名とパスワードを使用して GitHub にサインインする代わりに、エンタープライズのメンバーは IdP を介してサインインします。

Enterprise Managed Users では、次の IdP がサポートされています。

  • Azure Active Directory (Azure AD)
  • Okta

SAML SSO を構成した後は、ID プロバイダーが利用できない場合にエンタープライズへのアクセスを回復できるように、回復用コードを格納することをお勧めします。

現在、認証に SAML SSO を使っており、OIDC を使って CAP サポートの恩恵を受けたい場合は、移行パスをたどることができます。 詳しくは、「SAML から OIDC への移行」を参照してください。

注: SAML SSO が有効になっている場合、既存の SAML 構成の GitHub に対して更新できる唯一の設定は SAML 証明書です。 サインオン URL または発行者を更新する必要がある場合は、まず SAML SSO を無効にしてから、新しい設定で SAML SSO を再構成する必要があります。

Enterprise Managed Users の SAML シングル サインオンの構成

マネージド ユーザーを含む Enterprise の SAML SSO を構成するには、IdP でアプリケーションを構成してから、GitHub.com でエンタープライズを構成する必要があります。 SAML SSO を構成したら、ユーザー プロビジョニングを構成できます。

IdP に GitHub Enterprise Managed User アプリケーションをインストールして構成するには、サポートされている IdP に対するテナントと管理アクセス権が必要です。

セットアップ ユーザーのパスワードをリセットする必要がある場合、GitHub Support ポータル から GitHub Support に問い合わせます。

  1. ID プロバイダーの構成
  2. エンタープライズの構成
  3. プロビジョニングの有効化

ID プロバイダーの構成

IdP を構成するには、IdP で GitHub Enterprise Managed User アプリケーションを構成するための指示に従います。

  1. GitHub Enterprise Managed User アプリケーションをインストールするには、以下の IdP のリンクをクリックします。

  2. GitHub Enterprise Managed User アプリケーションと IdP を構成するには、以下のリンクをクリックし、IdP によって提供される指示に従います。

  3. そのため、エンタープライズをテストして構成し、自分自身または GitHub で SAML SSO を構成するユーザーを IdP 上の GitHub Enterprise Managed User アプリケーションに割り当てることができます。

  4. GitHub で Enterprise を引き続き構成できるようにするには、IdP にインストールしたアプリケーションから次の情報を見つけてメモします。

    その他の名前説明
    IdP のサインオン URLログイン URL、IdP URLIdP 上のアプリケーションの URL
    IdP 識別子 URL発行者SAML 認証用のサービス プロバイダーに対する IdP 識別子
    署名証明書 (Base64 エンコード)公開証明書IdP が認証要求に署名するために使用する公開証明書

Enterprise を設定する

ID プロバイダーに GitHub Enterprise Managed User アプリケーションをインストールして構成した後、エンタープライズを構成できます。

  1. ユーザー名 @SHORT-CODE_admin を使用して、新しいエンタープライズのセットアップ ユーザーとして GitHub.com にサインインします。

  2. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。

  3. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  4. Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  5. [設定] で、 [認証セキュリティ] をクリックします。

  6. [SAML シングル サインオン] で、 [Require SAML authentication](SAML 認証が必要) を選択します。

  7. [サインオン URL] に、IdP の構成時にメモしたシングル サインオン要求の IdP の HTTPS エンドポイントを入力します。

  8. [発行者] に、IdP の構成時にメモした SAML 発行者 URL を入力して、送信されたメッセージの信頼性を確認します。

  9. [公開証明書] で、IdP の構成時にメモした証明書を貼り付けて、SAML 応答を確認します。

  10. 公開証明書で、現在のシグネチャ メソッドとダイジェスト メソッドの右側にある をクリックします。

    SAML 設定の現在のシグネチャ メソッドとダイジェスト メソッドのスクリーンショット。 鉛筆アイコンがオレンジ色の枠線で強調表示されています。

  11. [シグネチャ メソッド][ダイジェスト メソッド] のドロップダウン メニューを選び、SAML 発行者が使っているハッシュ アルゴリズムをクリックします。

  12. エンタープライズで SAML SSO を有効化する前に、 [Test SAML configuration](SAML 構成のテスト) をクリックして、入力した情報が正しいか確認します。

  13. [保存] をクリックします。

    注: エンタープライズに SAML SSO が必要な場合、セットアップ ユーザーはエンタープライズにアクセスできなくなりますが、GitHub にはサインインしたままになります。 IdP によってプロビジョニングされた マネージド ユーザー アカウント のみがエンタープライズにアクセスできます。

  14. 将来的に ID プロバイダーが利用できなくなった場合でも Enterprise にアクセスできるようにするため、 [ダウンロード][印刷] 、または [コピー] をクリックして回復コードを保存します。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」を参照してください。

プロビジョニングの有効化

SAML SSO を有効にした後、プロビジョニングを有効にします。 詳しくは、「エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。