この記事の手順に従う前に、企業がマネージド ユーザーを使用していることを確認してください。 これには、エンタープライズ ビューの画面上部に [アカウント名で管理されているユーザー] ヘッダー バーが表示されているかを確認します。 表示されていた場合、企業ではマネージド ユーザーが使用されているため、この記事の手順に従うことができます。
企業で個人用アカウントを使用している場合は、別のプロセスに従って SAML シングル サインオンを構成する必要があります。 「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。
Enterprise Managed Users の SAML SSO について
Enterprise Managed Users では、GitHub.com または GHE.com でのエンタープライズのリソースへのアクセスは、ID プロバイダー (IdP) を介して認証する必要があります。 GitHub ユーザー名とパスワードを使用してサインインする代わりに、エンタープライズのメンバーは IdP を介してサインインします。
SAML SSO を構成した後は、IdP が利用できない場合に Enterprise へのアクセスを回復できるように、回復用コードを格納することをお勧めします。
現在、認証に SAML SSO を使っており、OIDC を使って CAP サポートの恩恵を受けたい場合は、移行パスをたどることができます。 詳しくは、「SAML から OIDC への移行」を参照してください。
前提条件
-
IdP の統合要件とサポート レベルを理解します。
- GitHub では、認証とプロビジョニングの両方にパートナー IdP を使用する場合、"paved-path" 統合と完全なサポートが提供されます。
- または、SAML 2.0 と SCIM 2.0 に準拠する任意のシステムまたはシステムの組み合わせを使用できます。 ただし、これらのシステムの問題を解決するためのサポートが限られている場合があります。
詳しくは、「Enterprise Managed Users について」をご覧ください。
-
IdP は SAML 2.0 仕様に準拠している必要があります。 OASIS の Web サイトの「SAML Wiki」をご覧ください。
-
IdP へのテナント管理者アクセスが必要です。
-
新しい企業に対して SAML SSO を構成する場合は、最初の構成プロセスでこれまでの全手順を完了してください。 「Enterprise Managed Users の概要」をご覧ください。
Enterprise Managed Users の SAML SSO の構成
マネージド ユーザーを含む Enterprise の SAML SSO を構成するには、IdP でアプリケーションを構成してから、GitHub で Enterprise を構成する必要があります。 SAML SSO を構成したら、ユーザー プロビジョニングを構成できます。
IdP を構成する
-
パートナー IdP を使用する場合、GitHub Enterprise Managed User アプリケーションをインストールするには、ご使用の IdP と環境のリンクをクリックします。
ID プロバイダー GitHub.com のアプリ GHE.com のアプリ Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User GitHub Enterprise Managed User - ghe.com PingFederate PingFederate ダウンロード Web サイト ([Add-ons] タブに移動して、GitHub EMU Connector 1.0 を選びます) PingFederate ダウンロード Web サイト ([Add-ons] タブに移動して、GitHub EMU Connector 1.0 を選びます) -
パートナー IdP で Enterprise Managed Users の SAML SSO を構成するには、お使いの IdP と環境の関連ドキュメントを参照してください。
ID プロバイダー GitHub.com のドキュメント GHE.com のドキュメント Microsoft Entra ID Microsoft Learn Microsoft Learn Okta エンタープライズ マネージド ユーザーの Okta を使った SAML シングル サインオンの構成 エンタープライズ マネージド ユーザーの Okta を使った SAML シングル サインオンの構成 PingFederate PingFederate を使用して認証とプロビジョニングを設定する (「前提条件」と「1. SAML を構成する」) PingFederate を使用して認証とプロビジョニングを設定する (「前提条件」と「1. SAML を構成する」) または、パートナー IdP を使用しない場合は、GitHub Enterprise Cloud の SAML 構成リファレンスを使用して、IdP に汎用 SAML 2.0 アプリケーションを作成して構成できます。 「SAML 構成リファレンス」をご覧ください。
-
Enterprise をテストして構成するには、自分または GitHub で Enterprise の SAML SSO を構成するユーザーを、IdP で Enterprise Managed Users 用に構成したアプリケーションに割り当てます。
Note
構成時に成功した認証接続をテストするには、少なくとも 1 人のユーザーを IdP に割り当てる必要があります。
-
GitHub で Enterprise を引き続き構成するには、IdP にインストールしたアプリケーションから次の情報を見つけてメモします。
値 その他の名前 説明 IdP のサインオン URL ログイン URL、IdP URL IdP 上のアプリケーションの URL IdP 識別子 URL 発行者 SAML 認証用のサービス プロバイダーに対する IdP 識別子 署名証明書 (Base64 エンコード) 公開証明書 IdP が認証要求に署名するために使用する公開証明書
Enterprise を構成する
IdP で Enterprise Managed Users の SAML SSO を構成した後、GitHub で Enterprise を構成できます。
SAML SSO の初期構成後、既存の SAML 構成の GitHub で更新できる設定は SAML 証明書のみです。 サインオン URL または発行元 URL を更新する必要がある場合は、まず SAML SSO を無効にしてから、新しい設定で SAML SSO を再構成する必要があります。 詳しくは、「Enterprise Manged User の認証とプロビジョニングを無効にする」をご覧ください。
-
ユーザー名 SHORT-CODE_admin を使って、Enterprise のセットアップ ユーザーとしてサインインします。SHORT-CODE は、Enterprise の短いコードに置き換えます。
Note
セットアップ ユーザーのパスワードをリセットする必要がある場合、GitHub Support ポータル から GitHub Support に問い合わせます。 メール アドレスを指定した通常のパスワードのリセット オプションは機能しません。
-
パートナー以外の IdP (Okta、PingFederate、または Entra ID 以外の IdP) を使っている場合は、SAML を有効にする前に、REST API を使って SCIM を設定できるように設定を更新する必要があります。 「Configuring SAML single sign-on for Enterprise Managed Users」をご覧ください。
-
GitHub の右上隅にあるプロフィール写真をクリックして、[Your enterprise] をクリックします。
-
ページの左側にある Enterprise アカウント サイドバーで、[Identity provider] をクリックします。
-
[Identity Provider] で、[Single sign-on configuration] をクリックします。
-
[SAML single sign-on] で、[Add SAML configuration] を選びます。
-
[サインオン URL] に、IdP の構成時にメモした SSO 要求の IdP の HTTPS エンドポイントを入力します。
-
[発行者] に、IdP の構成時にメモした SAML 発行者 URL を入力して、送信されたメッセージの信頼性を確認します。
-
[公開証明書] で、IdP の構成時にメモした証明書を貼り付けて、SAML 応答を確認します。
-
[Public Certificate] で、[Signature Method] と [Digest Method] のドロップダウン メニューを選び、SAML 発行者が使っているハッシュ アルゴリズムをクリックします。
-
Enterprise で SAML SSO を有効化する前に、 [Test SAML configuration](SAML 構成のテスト) をクリックして、入力した情報が正しいか確認します。 このテストではサービス プロバイダーによって開始される (SP によって開始される) 認証が使われ、SAML 設定を保存するにはこれに成功する必要があります。
-
[Save SAML settings](SAML 設定の保存) をクリックします。
Note
エンタープライズに対して SAML SSO を必須とし、SAML 設定を保存した後も、セットアップ ユーザーは引き続きエンタープライズにアクセスできます。また、IdP からプロビジョニングされ、エンタープライズにもアクセスできる マネージド ユーザー アカウント と共に、GitHub にサインインした状態が維持されます。
-
将来的に ID プロバイダーが利用できなくなった場合でも エンタープライズ GitHub にアクセスできるように、[ダウンロード]、[印刷]、または [コピー] をクリックして回復コードを保存してください。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」を参照してください。
プロビジョニングを有効にする
SAML SSO を有効にした後、プロビジョニングを有効にします。 詳しくは、「Configuring SAML single sign-on for Enterprise Managed Users」をご覧ください。
ゲスト コラボレーターの有効化
ゲストコラボレータのロールを使用して、Enterprise 内のベンダーや請負業者に限定的なアクセス権を付与できます。 Enterprise メンバーとは異なり、ゲスト コラボレーターは、メンバーである Organization 内の内部リポジトリにのみアクセスできます。
SAML 認証に Entra ID または Okta を使用する場合は、ゲスト コラボレーターを使用するように IdP アプリケーションを更新することが必要な場合があります。 詳しくは、「ゲスト コラボレーターの有効化」をご覧ください。