Enterprise マネージド ユーザーの SAML シングル サインオンの構成

Security Assertion Markup Language (SAML) シングル サインオン (SSO) を構成することで、GitHub の Enterprise アカウントへのアクセスを自動的に管理できます。

この機能を使用できるユーザーについて

GitHub Enterprise Cloud で Enterprise Managed Users を使用するエンタープライズ アカウントで使用できます。 「Enterprise Managed Users について」をご覧ください。

この記事の内容

この記事の手順に従う前に、企業がマネージド ユーザーを使用していることを確認してください。 これには、エンタープライズ ビューの画面上部に [アカウント名で管理されているユーザー] ヘッダー バーが表示されているかを確認します。 表示されていた場合、企業ではマネージド ユーザーが使用されているため、この記事の手順に従うことができます。

企業で個人用アカウントを使用している場合は、別のプロセスに従って SAML シングル サインオンを構成する必要があります。 「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。

Enterprise Managed Users の SAML SSO について

Enterprise Managed Users では、GitHub.com または GHE.com でのエンタープライズのリソースへのアクセスは、ID プロバイダー (IdP) を介して認証する必要があります。 GitHub ユーザー名とパスワードを使用してサインインする代わりに、エンタープライズのメンバーは IdP を介してサインインします。

SAML SSO を構成した後は、IdP が利用できない場合に Enterprise へのアクセスを回復できるように、回復用コードを格納することをお勧めします。

現在、認証に SAML SSO を使っており、OIDC を使って CAP サポートの恩恵を受けたい場合は、移行パスをたどることができます。 詳しくは、「SAML から OIDC への移行」を参照してください。

前提条件

  • IdP の統合要件とサポート レベルを理解します。

    • GitHub では、認証とプロビジョニングの両方にパートナー IdP を使用する場合、"paved-path" 統合と完全なサポートが提供されます。
    • または、SAML 2.0 と SCIM 2.0 に準拠する任意のシステムまたはシステムの組み合わせを使用できます。 ただし、これらのシステムの問題を解決するためのサポートが限られている場合があります。

    詳細については、「Enterprise Managed Users について」を参照してください。

  • IdP は SAML 2.0 仕様に準拠している必要があります。 OASIS の Web サイトの「SAML Wiki」をご覧ください。

  • IdP へのテナント管理者アクセスが必要です。

  • 新しい企業に対して SAML SSO を構成する場合は、最初の構成プロセスでこれまでの全手順を完了してください。 「Enterprise Managed Users の概要」をご覧ください。

Enterprise Managed Users の SAML SSO の構成

マネージド ユーザーを含む Enterprise の SAML SSO を構成するには、IdP でアプリケーションを構成してから、GitHub で Enterprise を構成する必要があります。 SAML SSO を構成したら、ユーザー プロビジョニングを構成できます。

  1. IdP を構成する
  2. Enterprise を構成する
  3. プロビジョニングを有効にする

IdP を構成する

  1. パートナー IdP を使用する場合、GitHub Enterprise Managed User アプリケーションをインストールするには、ご使用の IdP と環境のリンクをクリックします。

    ID プロバイダーGitHub.com のアプリGHE.com のアプリ
    Microsoft Entra IDGitHub Enterprise Managed UserGitHub Enterprise Managed User
    OktaGitHub Enterprise Managed UserGitHub Enterprise Managed User - ghe.com
    PingFederatePingFederate ダウンロード Web サイト ([Add-ons] タブに移動して、GitHub EMU Connector 1.0 を選びます)PingFederate ダウンロード Web サイト ([Add-ons] タブに移動して、GitHub EMU Connector 1.0 を選びます)

  2. パートナー IdP で Enterprise Managed Users の SAML SSO を構成するには、お使いの IdP と環境の関連ドキュメントを参照してください。

    ID プロバイダーGitHub.com のドキュメントGHE.com のドキュメント
    Microsoft Entra IDMicrosoft LearnMicrosoft Learn
    Oktaエンタープライズ マネージド ユーザーの Okta を使った SAML シングル サインオンの構成エンタープライズ マネージド ユーザーの Okta を使った SAML シングル サインオンの構成
    PingFederatePingFederate を使用して認証とプロビジョニングを設定する」(「前提条件」および「1. SAML を構成する」)PingFederate を使用して認証とプロビジョニングを設定する」(「前提条件」および「1. SAML を構成する」)

    または、パートナー IdP を使用しない場合は、GitHub Enterprise Cloud の SAML 構成リファレンスを使用して、IdP に汎用 SAML 2.0 アプリケーションを作成して構成できます。 「SAML 構成リファレンス」をご覧ください。

  3. Enterprise をテストして構成するには、自分または GitHub で Enterprise の SAML SSO を構成するユーザーを、IdP で Enterprise Managed Users 用に構成したアプリケーションに割り当てます。

    Note

    構成時に成功した認証接続をテストするには、少なくとも 1 人のユーザーを IdP に割り当てる必要があります。

  4. GitHub で Enterprise を引き続き構成するには、IdP にインストールしたアプリケーションから次の情報を見つけてメモします。

    その他の名前説明
    IdP のサインオン URLログイン URL、IdP URLIdP 上のアプリケーションの URL
    IdP 識別子 URL発行者SAML 認証用のサービス プロバイダーに対する IdP 識別子
    署名証明書 (Base64 エンコード)公開証明書IdP が認証要求に署名するために使用する公開証明書

Enterprise を構成する

IdP で Enterprise Managed Users の SAML SSO を構成した後、GitHub で Enterprise を構成できます。

SAML SSO の初期構成後、既存の SAML 構成の GitHub で更新できる設定は SAML 証明書のみです。 サインオン URL または発行元 URL を更新する必要がある場合は、まず SAML SSO を無効にしてから、新しい設定で SAML SSO を再構成する必要があります。 詳しくは、「Enterprise Manged User の認証とプロビジョニングを無効にする」を参照してください。

  1. ユーザー名 SHORT-CODE_admin を使って、Enterprise のセットアップ ユーザーとしてサインインします。SHORT-CODE は、Enterprise の短いコードに置き換えます。

    Note

    セットアップ ユーザーのパスワードをリセットする必要がある場合、GitHub Support ポータル から GitHub Support に問い合わせます。 メール アドレスを指定した通常のパスワードのリセット オプションは機能しません。

  2. GitHub の右上隅にあるプロフィール写真をクリックして、[Your enterprise] をクリックします。

  3. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. [設定] で、 [認証セキュリティ] をクリックします。

  5. [SAML シングル サインオン] で、 [Require SAML authentication](SAML 認証が必要) を選択します。

  6. [サインオン URL] に、IdP の構成時にメモした SSO 要求の IdP の HTTPS エンドポイントを入力します。

  7. [発行者] に、IdP の構成時にメモした SAML 発行者 URL を入力して、送信されたメッセージの信頼性を確認します。

  8. [公開証明書] で、IdP の構成時にメモした証明書を貼り付けて、SAML 応答を確認します。

  9. 公開証明書で、現在のシグネチャ メソッドとダイジェスト メソッドの右側にある をクリックします。

    SAML 設定の現在のシグネチャ メソッドとダイジェスト メソッドのスクリーンショット。 鉛筆アイコンがオレンジ色の枠線で強調表示されています。

  10. [シグネチャ メソッド][ダイジェスト メソッド] のドロップダウン メニューを選び、SAML 発行者が使っているハッシュ アルゴリズムをクリックします。

  11. Enterprise で SAML SSO を有効化する前に、 [Test SAML configuration](SAML 構成のテスト) をクリックして、入力した情報が正しいか確認します。 このテストではサービス プロバイダーによって開始される (SP によって開始される) 認証が使われ、SAML 設定を保存するにはこれに成功する必要があります。

  12. [保存] をクリックします。

    Note

    エンタープライズに対して SAML SSO を必須とし、SAML 設定を保存した後も、セットアップ ユーザーは引き続きエンタープライズにアクセスできます。また、IdP からプロビジョニングされ、エンタープライズにもアクセスできる マネージド ユーザー アカウント と共に、GitHub にサインインした状態が維持されます。

  13. 将来的に ID プロバイダーが利用できなくなった場合でも エンタープライズ GitHub にアクセスできるように、[ダウンロード][印刷]、または [コピー] をクリックして回復コードを保存してください。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」を参照してください。

プロビジョニングを有効にする

SAML SSO を有効にした後、プロビジョニングを有効にします。 詳しくは、「Configuring SAML single sign-on for Enterprise Managed Users」を参照してください。

ゲスト コラボレーターの有効化

ゲストコラボレータのロールを使用して、Enterprise 内のベンダーや請負業者に限定的なアクセス権を付与できます。 Enterprise メンバーとは異なり、ゲスト コラボレーターは、メンバーである Organization 内の内部リポジトリにのみアクセスできます。

SAML 認証に Entra ID または Okta を使用する場合は、ゲスト コラボレーターを使用するように IdP アプリケーションを更新することが必要な場合があります。 詳しくは、「ゲスト コラボレーターの有効化」を参照してください。