Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
エンタープライズ管理者

SAML から OIDC への移行

この記事の内容

SAML を使用して マネージド ユーザーを含む Enterprise のメンバーを認証している場合は、OpenID Connect (OIDC) に移行すると、IdP の条件付きアクセス ポリシーのサポートからメリットを得ることができます。

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳しくは、「Enterprise Managed Users について」を参照してください。

メモ: Enterprise Managed Users に対する OpenID Connect (OIDC) と条件付きアクセス ポリシー (CAP) のサポートは、Azure AD でのみ使用できます。

マネージド ユーザーを含む Enterprise の SAML から OIDC への移行について

マネージド ユーザーを含む Enterprise が SAML SSO を使用して Azure Active Directory (Azure AD) で認証を行う場合は、OIDC に移行できます。 企業で OIDC SSO を使うと、GitHub は IdP の条件付きアクセス ポリシー (CAP) の IP 条件を自動的に使って、メンバーが IP アドレスを変更したとき、personal access token または SSH キーが使われるたびに、GitHub でのユーザー操作を検証します。

SAML から OIDC に移行する場合、以前に SAML 用にプロビジョニングされたが、GitHub Enterprise Managed User (OIDC) アプリケーションによってプロビジョニングされていないマネージド ユーザー アカウントとグループには、表示名に "(SAML)" が付加されます。

Enterprise Managed Users を使用するのが初めてで、Enterprise の認証をまだ構成していない場合は、移行する必要はなく、OIDC シングル サインオンをすぐに設定できます。 詳しくは、「エンタープライズ マネージド ユーザーの OIDC の構成」を参照してください。

Enterprise を移行する

注: セットアップ ユーザーとしてサインインするには、回復用コードが必要です。 回復用コードがまだない場合、Enterprise 所有者としてサインインしている間はコードにアクセスできます。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」を参照してください。

  1. 移行を開始する前に、Azure にサインインし、既存の GitHub Enterprise Managed User アプリケーションでのプロビジョニングを無効にします。

  2. Azure AD で条件付きアクセス (CA) ネットワークの場所ポリシーを使っており、現時点、GitHub.com 上で、Enterprise アカウントまたは Enterprise アカウントで所有しているいずれかの Organization で IP 許可リストを使っている場合、その IP 許可リストを無効にしてください。 詳細については、「Enterprise でセキュリティ設定のポリシーを適用する」および「Organization に対する許可 IP アドレスを管理する」を参照してください。

  3. ユーザー名 @SHORT-CODE_admin を使用して、Enterprise のセットアップ ユーザーとして GitHub.com にサインインします。

  4. ID プロバイダーに進むように続行を求められたら、 [回復用コードを使用する] をクリックし、Enterprise のいずれかの回復用コードを使用してサインインします。

    注: ユーザー アカウントではなく、エンタープライズ用の回復コードを使う必要があります。 詳細については、「エンタープライズ アカウントのシングル サインオン回復用コードをダウンロードする」を参照してください。

    1. GitHub.com の右上の自分のプロファイル写真をクリックし、 **[自分の Enterprise]** をクリックします。 ![GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]](/assets/images/help/enterprises/your-enterprises.png)

  5. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  6. Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  7. [設定] で、 [認証セキュリティ] をクリックします。

  8. ページ下部にある [OpenID Connect シングル サインオンへの移行] の横の [Azure で構成] をクリックします。

    警告: 移行には 1 時間ほどかかる場合があるため、移行中にユーザーがプロビジョニングされないようにすることが重要です。 Enterprise のセキュリティ設定ページに戻ると、移行がまだ進行中かどうかを確認できます。[SAML 認証を要求する] がまだオンになっている場合は、移行がまだ進行中です。

    [Azure で構成] ボタンを示すスクリーンショット

  9. 両方の警告を読み、クリックして続行します。

  10. GitHub Enterprise Cloud によって IdP にリダイレクトされたら、サインインしてから指示に従って同意し、GitHub Enterprise Managed User (OIDC) アプリケーションをインストールします。 Azure AD によって OIDC での GitHub Enterprise Managed Users のアクセス許可が要求されたら、 [Organization の代理として同意する] を有効にして、 [同意する] をクリックします。

    警告: GitHub Enterprise Managed User (OIDC) アプリケーションのインストールに同意するには、グローバル管理者権限を持つユーザーとして Azure AD にサインインする必要があります。

  11. 新しいタブまたはウィンドウで、GitHub.com のセットアップ ユーザーとしてサインインしたまま、admin:enterprise スコープを持つ有効期限のないpersonal access token (classic)を作成し、クリップボードにコピーします。 新しいトークンの作成の詳細については、「エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。

  12. Azure Portal の GitHub Enterprise Managed User (OIDC) アプリケーションの設定で、[テナント URL] に「https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE」と入力します。YOUR_ENTERPRISE は、お使いの Enterprise アカウントの名前に置き換えてください。

    たとえば、Enterprise アカウントの URL が https://github.com/enterprises/octo-corp の場合、Enterprise アカウントの名前は octo-corp です。

  13. [シークレット トークン] に、先ほど作成した admin:enterprise スコープのpersonal access token (classic)を貼り付けます。

  14. 構成をテストするには、 [接続のテスト] をクリックします。

  15. 変更を保存するには、フォームの上部にある [保存] をクリックします。

  16. Azure Portal で、旧 GitHub Enterprise Managed User アプリケーションから新しい GitHub Enterprise Managed User (OIDC) アプリケーションにユーザーとグループをコピーします。

  17. 1 人の新しいユーザーをプロビジョニングして、構成をテストします。

  18. テストが成功した場合は、 [プロビジョニングの開始] をクリックして、すべてのユーザーのプロビジョニングを開始します。