Skip to main content

エンタープライズ IAM の SAML について

SAML シングル サインオン (SSO) を使用して、GitHub.com でエンタープライズによって所有される組織へのアクセスを一元的に管理できます。

GitHub.com 上のエンタープライズの SAML SSO について

Enterprise メンバーが GitHub.com 上で自分の個人アカウントを管理する場合、エンタープライズまたは組織の追加のアクセス制限として SAML 認証を構成することができます。 SAML シングル サインオン (SSO) により、GitHub Enterprise Cloud を使用する組織の所有者とエンタープライズの所有者は、リポジトリ、issue、pull request などの組織のリソースへのアクセス権を制御し、セキュリティで保護することができます。

SAML SSO を構成する場合、組織のメンバーは引き続き GitHub.com で個人アカウントにサインインします。 組織内の非パブリックのリソースにメンバーがアクセスすると、GitHub により、認証のためにメンバーが IdP にリダイレクトされます。 認証に成功すると、IdP はメンバーを GitHub にリダイレクトして戻します。 詳細については、「SAML のシングル サインオンでの認証について」を参照してください。

注: SAML SSO は、GitHub の通常のサインイン プロセスに代わるものではありません。 Enterprise Managed Users を使用する場合を除き、メンバーは GitHub.com で引き続き個人アカウントにサインインし、各個人アカウントは IdP で外部 ID にリンクされます。

Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 Enterprise アカウントに対して SAML SSO を有効にすると、その Enterprise アカウントによって所有されているすべての組織に対して SAML SSO が有効になります。 すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。 詳しくは、「エンタープライズ向けの SAML シングル サインオンの構成」をご覧ください。

または、Enterprise Managed Users を使用して Enterprise メンバーのアカウントをプロビジョニングおよび管理することができます。 SAML SSO または Enterprise Managed Users がエンタープライズにとって適切かどうかを判断するには、「エンタープライズの認証について」を参照してください。

SAML 構成エラーまたは ID プロバイダー (IdP) の問題によって SAML SSO を使用できない場合は、復旧コードを使用してエンタープライズにアクセスできます。 詳細については、「企業の復旧コードの管理」を参照してください。

SAML SSO を有効にした後、使用する IdP によっては、追加のアイデンティおよびアクセス管理機能を有効にできる場合があります。

IdP として Azure AD を使用している場合は、Team 同期を使用して、各 Organization 内の Team メンバーシップを管理できます。 Organization または Enterprise アカウントで Team の同期が有効になっている場合は、GitHub Team を IdP グループと同期できます。 GitHub Team を IdP グループと同期すると、IdP グループへの変更が GitHub Enterprise Cloud に自動的に反映され、必要な手動更新やカスタム スクリプトを減らすことができます。 詳しくは、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」をご覧ください。 詳細については、エンタープライズ アカウントでの組織のチーム同期の管理に関するページを参照してください。

注: Enterprise Managed Users に対してエンタープライズが有効ではない場合、エンタープライズ レベルでは SCIM を使用できません。

エンタープライズ アカウントが所有する組織のいずれかが SAML SSO を使用するように既に構成されている場合、エンタープライズ アカウントに対して SAML SSO を有効にするときに特別な考慮事項があります。 詳細については、「組織からエンタープライズ アカウントへの SAML 構成の切り替え」を参照してください。

サポートされている IdP

以下の IdP はテスト済みで公式にサポートされています。 SAML SSO の場合、SAML 2.0 標準を実装するすべてのアイデンティティプロバイダに対して限定的なサポートが提供されています。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。

IdPSAMLTeam の同期
Active Directory フェデレーション サービス (AD FS)
Azure Active Directory (Azure AD)
Okta
OneLogin
PingOne
Shibboleth

参考資料