GitHub.com のエンタープライズの SAML SSO について
Enterprise メンバーが GitHub.com 上で自分のユーザー アカウントを管理する場合、エンタープライズまたは Organization の追加のアクセス制限として SAML 認証を構成することができます。 SAML シングル サインオン (SSO) により、GitHub Enterprise Cloud を使用する組織の所有者とエンタープライズの所有者は、リポジトリ、issue、pull request などの組織のリソースへのアクセス権を制御し、セキュリティで保護することができます。
SAML SSO を構成する場合、組織のメンバーは引き続き GitHub.com で個人アカウントにサインインします。 組織内のほとんどのリソースは、メンバーがアクセスすると、GitHub によってメンバーは IdP にリダイレクトされ、認証を受けます。 認証に成功すると、IdP はメンバーを GitHub にリダイレクトして戻します。 詳しくは、「SAMLのシングルサインオンでの認証について」を参照してください。
注: SAML SSO は、GitHub の通常のサインイン プロセスに代わるものではありません。 Enterprise Managed Users を使用する場合を除き、メンバーは GitHub.com で引き続き個人アカウントにサインインし、各個人アカウントは IdP で外部 ID にリンクされます。
Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 Enterprise アカウントに対して SAML SSO を有効にすると、その Enterprise アカウントによって所有されているすべての組織に対して SAML SSO が有効になります。 すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。 詳細については、「ID とアクセス管理について」と「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。
または、Enterprise Managed Users を使用して Enterprise メンバーのアカウントをプロビジョニングおよび管理することができます。 SAML SSO と Enterprise Managed Users のどちらがエンタープライズにとって適切かを判断するには、「GitHub Enterprise Cloud の Enterprise の種類の選択」を参照してください。
SAML 構成エラーまたは ID プロバイダー (IdP) の問題によって SAML SSO を使用できない場合は、復旧コードを使用してエンタープライズにアクセスできます。 詳細については、「Enterprise のリカバリ コードの管理」を参照してください。
SAML SSO を有効にした後、使用する IdP によっては、追加のアイデンティおよびアクセス管理機能を有効にできる場合があります。
注: ユーザーのアカウントが Enterprise Managed Users 用に作成されたものでない場合、ユーザーはエンタープライズ アカウントに SCIM を構成できません。 詳しくは、「Enterprise Managed Users について」を参照してください。
Enterprise Managed Users を使っていなくて、SCIM プロビジョニングを使いたい場合は、エンタープライズ レベルではなく、組織レベルで SAML SSO を構成する必要があります。 詳しくは、「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」を参照してください。
IdP として Microsoft Entra ID (旧称 Azure AD) を使用すると、チーム同期を使用して、各組織内のチーム メンバーシップを管理できます。 Organization または Enterprise アカウントで Team の同期が有効になっている場合は、GitHub Team を IdP グループと同期できます。 GitHub Team を IdP グループと同期すると、IdP グループへの変更が GitHub Enterprise Cloud に自動的に反映され、必要な手動更新やカスタム スクリプトを減らすことができます。 詳細については、「Enterprise で Organization の Team 同期を管理する」を参照してください。
エンタープライズ アカウントが所有する組織のいずれかが SAML SSO を使用するように既に構成されている場合、エンタープライズ アカウントに対して SAML SSO を有効にするときに特別な考慮事項があります。 詳細については、「組織からエンタープライズ アカウントへの SAML 構成の切り替え」を参照してください。
GitHub Enterprise Cloud での SAML SSO の構成について詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。
サポートされている IdP
以下の IdP はテスト済みで公式にサポートされています。 SAML SSO の場合、SAML 2.0 標準を実装するすべてのアイデンティティプロバイダに対して限定的なサポートが提供されています。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。
IdP | SAML | Team の同期 |
---|---|---|
Active Directory フェデレーション サービス (AD FS) | ||
Entra ID | ||
Okta | ||
OneLogin | ||
PingOne | ||
Shibboleth |
参考資料
- 「Enterprise IAM での SAML の使用」
- OASIS の Web サイトの SAML Wiki
- IETF の Web サイトの「クロスドメイン ID 管理システム: プロトコル (RFC 7644)」