Note: If your enterprise uses Enterprise Managed Users, you must follow a different process to configure SAML single sign-on. For more information, see "Configuring SAML single sign-on for Enterprise Managed Users."
SAML SSO について
SAML single sign-on (SSO) gives organization owners and enterprise owners using GitHub Enterprise Cloud a way to control and secure access to organization resources like repositories, issues, and pull requests. 詳細は「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」を参照してください。
Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 After you enable SAML SSO for your enterprise account, SAML SSO is enforced for all organizations owned by your enterprise account. すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。
GitHub Enterprise Cloud上の各Organizationのリソースにアクセスするには、メンバーはアクティブなSAMLセッションをブラウザーに持っていなければなりません。 各Organizationの保護されたリソースにAPIやGitを使ってアクセスするには、メンバーは、メンバーがOrganizationでの利用のために認可した個人アクセストークンもしくはSSHキーを使わなければなりません。 Enterpriseのオーナーは、メンバーのリンクされたアイデンティティ、アクティブなセッション、認可されたクレデンシャルをいつでも見たり取り消ししたりできます。詳細は「Enterprise アカウントへのユーザの SAML アクセスの表示および管理」を参照してください。
When SAML SSO is disabled, all linked external identities are removed from GitHub Enterprise Cloud.
You cannot use this implementation of SCIM with an enterprise account or with an organization with managed users. If your enterprise is enabled for Enterprise Managed Users, you must use a different implementation of SCIM. Otherwise, SCIM is not available at the enterprise level. For more information, see "Configuring SCIM provisioning for Enterprise Managed Users."
サポートされているアイデンティティプロバイダ
GitHub Enterprise Cloud は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳しい情報については、OASIS Web サイトの SAML Wiki を参照してください。
GitHub officially supports and internally tests the following IdPs.
- Active Directory フェデレーションサービス (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
SAMLでのユーザ名についての考慮
If you use Enterprise Managed Users, GitHub Enterprise Cloud normalizes a value from your IdP to determine the username for each new personal account in your enterprise on GitHub.com. For more information, see "Username considerations for external authentication."
Enforcing SAML single-sign on for organizations in your enterprise account
ノート:
- When you enforce SAML SSO for your enterprise, the enterprise configuration will override any existing organization-level SAML configurations. There are special considerations when enabling SAML SSO for your enterprise account if any of the organizations owned by the enterprise account are already configured to use SAML SSO. For more information, see "Switching your SAML configuration from an organization to an enterprise account."
- When you enforce SAML SSO for an organization, GitHub removes any members of the organization that have not authenticated successfully with your SAML IdP. When you require SAML SSO for your enterprise, GitHub does not remove members of the enterprise that have not authenticated successfully with your SAML IdP. The next time a member accesses the enterprise's resources, the member must authenticate with your SAML IdP.
For more detailed information about how to enable SAML using Okta, see "Configuring SAML single sign-on for your enterprise account using Okta."
-
GitHub.comの右上で、自分のプロフィール写真をクリックし、続いてYour enterprises(自分のEnterprise)をクリックしてください。
-
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
-
Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
-
左のサイドバーでSecurity(セキュリティ)をクリックしてください。
-
Optionally, to view the current configuration for all organizations in the enterprise account before you change the setting, click View your organizations' current configurations.
-
Under "SAML single sign-on", select Require SAML authentication.
-
Sign on URLフィールドに、使用する IdP のシングルサインオンのリクエストのための HTTPS エンドポイントを入力してください。 この値は Idp の設定で使用できます。
-
必要に応じて、[Issuer] フィールドに SAML 発行者の URL を入力して、送信されたメッセージの信頼性を確認します。
-
[Public Certificate] で、証明書を貼り付けて SAML の応答を認証します。
-
SAML 発行者からのリクエストの完全性を確認するには、 をクリックします。 次に、[Signature Method] および [Digest Method] ドロップダウンで、SAML 発行者が使用するハッシュアルゴリズムを選択します。
-
Enterprise で SAML SSO を有効化する前に、[Test SAML configuration] をクリックして、入力した情報が正しいか確認します。
-
[Save] をクリックします。
-
To ensure you can still access your enterprise in the event that your identity provider is ever unavailable in the future, click Download, Print, or Copy to save your recovery codes. For more information, see "Downloading your enterprise account's SAML single sign-on recovery codes."