Enterprise アカウントの SAML シングルサインオンについて
SAML シングル サインオン (SSO) により、GitHub Enterprise Cloud を使用する組織の所有者とエンタープライズの所有者は、リポジトリ、issue、pull request などの組織のリソースへのアクセス権を制御し、セキュリティで保護することができます。 Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 Enterprise アカウントに対して SAML SSO を有効にすると、その Enterprise アカウントによって所有されているすべての組織に対して SAML SSO が有効になります。 すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。
エンタープライズ アカウントが所有する組織のいずれかが SAML SSO を使用するように既に構成されている場合、エンタープライズ アカウントに対して SAML SSO を有効にするときに特別な考慮事項があります。
組織レベルで SAML SSO を構成する場合は、IdP で一意の SSO テナントを使用して各組織を構成する必要があります。つまり、メンバーは、正常に認証が行われた組織ごとに、一意の SAML ID レコードに関連付けられます。 代わりにエンタープライズ アカウントに SAML SSO を構成した場合、各エンタープライズ メンバーは、エンタープライズ アカウントが所有するすべての組織に使用される 1 つの SAML ID を持ちます。
エンタープライズ アカウントの SAML SSO を構成すると、新しい構成によって、エンタープライズ アカウントが所有する組織の既存の SAML SSO 構成がオーバーライドされます。 構成したチーム同期設定も、これらの組織から削除されます。
-
組織のメンバーは、組織のチーム同期設定の削除後に GitHub チームから削除されます。
-
チーム同期を再度有効にする場合は、エンタープライズの SAML SSO を有効にする前に、影響を受ける組織の現在のチーム同期構成を書き留めておきます。 「Organization の Team 同期を管理する」をご覧ください。
チームの同期を再度有効にした後に、組織のメンバーを GitHub チームに再度追加する必要があります。
-
ユーザーが組織のリソースを積極的に使用していない場合、組織のチーム同期設定を変更する時間をスケジュールします。 チームの同期を変更すると、メンバーのダウンタイムが発生することがあります。
エンタープライズ所有者がエンタープライズ アカウントに対して SAML を有効にした場合、エンタープライズ メンバーには通知されません。 SAML SSO が組織レベルで以前に適用されていた場合、組織のリソースに直接移動するときにメンバーに大きな違いを見せないようにする必要があります。 メンバーは引き続き SAML 経由で認証するように求められます。 メンバーが IdP ダッシュボードを使用して組織のリソースに移動する場合は、組織レベルのアプリの古いタイルではなく、エンタープライズ レベルのアプリの新しいタイルをクリックする必要があります。 その後、メンバーは移動先の組織を選択できるようになります。
組織に対して以前に認可された personal access token、SSH キー、OAuth apps、GitHub Apps は、組織に対して引き続き認可されます。 ただし、メンバーは、組織の SAML SSO で使用する権限が与えられていないすべての PAT、SSH キー、OAuth apps、GitHub Apps を承認する必要があります。
エンタープライズ アカウントに対して SAML SSO が構成されている場合、SCIM プロビジョニングは現在サポートされていません。 現在、エンタープライズ アカウントが所有する組織に SCIM を使用している場合、エンタープライズ レベルの構成に切り替えると、この機能が失われます。
エンタープライズ アカウントに対して SAML SSO を構成する前に、組織レベルの SAML 構成を削除する必要はありませんが、これを検討することもできます。 今後、エンタープライズ アカウントに対して SAML が無効になった場合は、残りの組織レベルの SAML 構成が有効になります。 組織レベルの構成を削除すると、今後予期しない問題が発生するのを防ぐことができます。
Organization または Enterprise レベルでの SAML SSO の実装に関する判断について詳しくは、「ID とアクセス管理について」をご覧ください。
組織からエンタープライズ アカウントへの SAML 構成の切り替え
- エンタープライズ アカウントに SAML SSO を適用し、すべての組織メンバーがエンタープライズ アカウントで使用されている IdP アプリに割り当てられている、またはアクセス権が付与されていることを確認します。 詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。
- 混乱を防ぐために組織レベルの SAML 構成を保持している場合は、IdP で組織レベルのアプリのタイルを非表示にすることを検討してください。
- 変更についてエンタープライズ メンバーにアドバイスします。
- IdP ダッシュボードで組織の SAML アプリをクリックすると、メンバーは組織にアクセスできなくなります。 エンタープライズ アカウント用に構成された新しいアプリを使用する必要があります。
- メンバーは、組織で SAML SSO での使用が以前に承認されていない、すべての PAT または SSH キーを承認する必要があります。 詳細については、「SAMLシングルサインオンで利用するために個人アクセストークンを認可する」および「SAMLシングルサインオンで利用するためにSSHキーを認可する」を参照してください。
- メンバーは、組織に対して以前に承認された OAuth apps を再承認する必要がある場合があります。 詳しくは、「SAMLのシングルサインオンでの認証について」をご覧ください。