Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。

Enterprise 向けの SAML シングルサインオンを設定する

ID プロバイダー (IdP) を介した SAML シングル サインオン (SSO) を適用して、エンタープライズの組織内のリポジトリ、イシュー、pull request などのリソースへのアクセスを制御し、セキュリティで保護できます。

この機能を使用できるユーザー

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

: エンタープライズが Enterprise Managed Users を使っている場合は、別のプロセスに従って SAML シングル サインオンを構成する必要があります。 詳細については、「エンタープライズ マネージド ユーザーの SAML シングル サインオンの構成」を参照してください。

SAML SSO について

SAML シングル サインオン (SSO) により、GitHub Enterprise Cloud を使用する組織の所有者とエンタープライズの所有者は、リポジトリ、issue、pull request などの組織のリソースへのアクセス権を制御し、セキュリティで保護することができます。

SAML SSO を構成する場合、組織のメンバーは引き続き GitHub.com で個人アカウントにサインインします。 組織内のほとんどのリソースは、メンバーがアクセスすると、GitHub によってメンバーは IdP にリダイレクトされ、認証を受けます。 認証に成功すると、IdP はメンバーを GitHub にリダイレクトして戻します。 詳細については、「SAML のシングル サインオンでの認証について」を参照してください。

注: SAML SSO は、GitHub の通常のサインイン プロセスに代わるものではありません。 Enterprise Managed Users を使用する場合を除き、メンバーは GitHub.com で引き続き個人アカウントにサインインし、各個人アカウントは IdP で外部 ID にリンクされます。

詳細については、「SAML シングル サインオンを使うアイデンティティおよびアクセス管理について」を参照してください。

Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 Enterprise アカウントに対して SAML SSO を有効にすると、その Enterprise アカウントによって所有されているすべての組織に対して SAML SSO が有効になります。 すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。

GitHub Enterprise Cloud上の各Organizationのリソースにアクセスするには、メンバーはアクティブなSAMLセッションをブラウザーに持っていなければなりません。 各組織の保護されたリソースに API や Git を使ってアクセスするには、メンバーは、メンバーが組織での使用を認可した personal access token または SSH キーを使う必要があります。 Enterpriseのオーナーは、メンバーのリンクされたアイデンティティ、アクティブなセッション、認可されたクレデンシャルをいつでも見たり取り消ししたりできます。詳細については、「Enterprise アカウントへのユーザーの SAML アクセスの表示および管理」を参照してください。

SAML SSO が無効になっているとき、リンクされているすべての外部 ID が GitHub Enterprise Cloud から削除されます。

SAML SSO を有効にした後、OAuth App と GitHub App の認可を取り消して再承認してからでないと、組織にアクセスできない場合があります。 詳しい情報については、「OAuth Apps の承認」を参照してください。

サポートされているアイデンティティプロバイダ

GitHub Enterprise Cloud は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。

GitHub は、次の IdP を正式にサポートし、内部的にテストします。

  • Active Directory フェデレーション サービス (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

SAMLでのユーザ名についての考慮

Enterprise Managed Users を使用する場合、GitHub Enterprise Cloud は、IdP からの値を正規化し、GitHub.com のエンタープライズで、新しい個人アカウントごとにユーザー名を決定します。詳細については、外部認証のユーザー名に関する考慮事項に関するページを参照してください。

Enterprise アカウントで Organization の SAML シングルサインオンを適用する

Enterprise に SAML SSO を適用すると、Enterprise 構成によって既存の Organization レベルの SAML 構成がオーバーライドされます。 エンタープライズ アカウントが所有する組織のいずれかが SAML SSO を使用するように既に構成されている場合、エンタープライズ アカウントに対して SAML SSO を有効にするときに特別な考慮事項があります。 詳細については、「組織からエンタープライズ アカウントへの SAML 構成の切り替え」を参照してください。

Organization に SAML SSO を適用すると、GitHub では、SAML IdP で正常に認証されていない Organization のメンバーがすべて削除されます。 Enterprise に SAML SSO を必要とする場合、GitHub では、SAML IdP で正常に認証されていない Enterprise のメンバーは削除されません。 次にメンバーが Enterprise のリソースにアクセスするときに、そのメンバーは SAML IdP で認証する必要があります。

Okta を使用して SAML を有効にする方法の詳細については、Okta を使用した Enterprise アカウントの SAML シングル サインオンの構成に関するページを参照してください。

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. 左サイドバーで、 [認証のセキュリティ] をクリックします。 [Enterprise アカウント設定] サイドバーの **[セキュリティ]** タブ

  5. 必要に応じて、設定を変更する前にエンタープライズ アカウントのすべての組織の現在の構成を確認するには、 [View your organizations' current configurations](組織の現在の構成の表示) をクリックします。  ビジネス内の組織の現在のポリシー構成を表示するリンク

  6. [SAML シングル サインオン] で、 [Require SAML authentication](SAML 認証が必要) を選択します。 SAML SSO を有効化するためのチェックボックス

  7. [サインオン URL] フィールドにシングルサインオンのリクエスト用の IdP の HTTPS エンドポイントを入力します。 この値は Idp の設定で使用できます。 メンバーがサインインする際にリダイレクトされる URL のフィールド

  8. 必要に応じて、 [発行者] フィールドに SAML 発行者の URL を入力して、送信されたメッセージの信頼性を確認します。 SAML 発行者の名前のフィールド

  9. [公開証明書] の下で証明書を貼り付けて SAML の応答を検証します。 ID プロバイダーからの公開証明書のフィールド

  10. SAML 発行者からの要求のデータ整合性を確認するには、 をクリックします。 次に、[Signature Method] および [Digest Method] ドロップダウンで、SAML 発行者が使用するハッシュアルゴリズムを選択します。 SAML 発行者が使用する署名方法とダイジェスト方法のハッシュ アルゴリズム用のドロップダウン

  11. Enterprise で SAML SSO を有効化する前に、 [SAML 構成のテスト] をクリックして、入力した情報が正しいか確認します。 適用する前に SAML 構成をテストするボタン

  12. [保存] をクリックします。

  13. 将来的に ID プロバイダーが利用できなくなった場合でも Enterprise にアクセスできるようにするため、 [ダウンロード][印刷] 、または [コピー] をクリックして回復コードを保存します。 詳細については、「Enterprise アカウントのシングル サインオン回復用コードをダウンロードする」を参照してください。

    回復コードをダウンロード、印刷、またはコピーするボタンのスクリーンショット

参考資料