Skip to main content

エンタープライズ マネージド ユーザーの OIDC の構成

OpenID Connect (OIDC) シングル サインオン (SSO) を構成し、IdP の条件付きアクセス ポリシー (CAP) のサポートを有効にすることで、GitHub 上の Enterprise アカウントへのアクセスを自動的に管理する方法について説明します。

この機能を使用できるユーザーについて

GitHub Enterprise Cloud で Enterprise Managed Users を使用するエンタープライズ アカウントで使用できます。 「Enterprise Managed Users について」をご覧ください。

Note

Enterprise Managed Users に対する OpenID Connect (OIDC) と条件付きアクセス ポリシー (CAP) のサポートは、Microsoft Entra ID (旧称 Azure AD) でのみ使用できます。

エンタープライズ マネージド ユーザーの OIDC について

Enterprise Managed Users を使用すると、エンタープライズは ID プロバイダー (IdP) を使用してすべてのメンバーを認証します。 OpenID Connect (OIDC) を使うと、マネージド ユーザーを含む Enterprise の認証を管理することができます。 OIDC SSO の有効化は、GitHub と IdP によって管理される証明書を使ったワンクリックの設定プロセスです。

企業で OIDC SSO を使うと、GitHub は IdP の条件付きアクセス ポリシー (CAP) の IP 条件を自動的に使って、メンバーが Web UI を使用するか IP アドレスを変更したとき、およびpersonal access tokenまたはユーザー アカウントに関連付けられた SSH キーを使用した認証のたびに、GitHub での操作を検証します。 「IdP の条件付きアクセス ポリシーのサポートについて」を参照してください。

Note

Web セッションの CAP 保護は現在パブリック プレビュー段階にあり、変更される可能性があります。

2024 年 11 月 5 日より後に IdP CAP サポートを有効にする新しい企業では、Web セッションの保護が既定で有効になります。

IdP CAP のサポートを既に有効にしている既存の企業は、企業の [Authentication security] 設定から Web セッションの拡張保護をオプトインできます。

IdP から GitHub に対して発行される ID トークンの有効期間ポリシー プロパティを変更することによって、セッションの有効期間と、マネージド ユーザー アカウント が IdP で再認証を行う必要がある頻度を調整できます。 既定の有効期間は 1 時間です。 Microsoft ドキュメントの「トークンの有効期間ポリシーを構成する」を参照してください。

有効期間ポリシー プロパティを変更するには、Enterprise Managed Users OIDC に関連付けられているオブジェクト ID が必要です。 「Entra OIDC アプリケーションのオブジェクト ID の検索」をご覧ください。

Note

OIDC セッションの有効期間の構成についてサポートが必要な場合は、Microsoft サポートにお問い合わせください。

現在、認証に SAML SSO を使っており、OIDC を使って CAP サポートの恩恵を受けたい場合は、移行パスをたどることができます。 詳しくは、「SAML から OIDC への移行」を参照してください。

警告: GitHub Enterprise Importer を使って Organization を お使いの GitHub Enterprise Server インスタンス から移行する場合、Entra ID の CAP が免除されているサービス アカウントを使ってください。そうしないと、移行を実行してもブロックされる可能性があります。

ID プロバイダーのサポート

OIDC のサポートは、Entra ID を使用しているお客様が利用できます。

各 Entra ID テナントは、Enterprise Managed Users との OIDC 統合を 1 つだけサポートできます。 Entra ID を GitHub 上の複数のエンタープライズに接続するには、代わりに SAML を使います。 「Enterprise マネージド ユーザーの SAML シングル サインオンの構成」をご覧ください。

OIDC では、IdP によって開始される認証はサポートされていません。

エンタープライズ マネージド ユーザーの OIDC の構成

  1. ユーザー名 @SHORT-CODE_admin を使用して、新しい Enterprise のセットアップ ユーザーとして GitHub にサインインします。

  2. GitHub の右上隅にあるプロフィール写真をクリックして、[Your enterprise] をクリックします。

  3. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  4. [設定] で、 [認証セキュリティ] をクリックします。

  5. [OpenID Connect シングル サインオン] で、 [OIDC シングル サインオンを要求する] を選びます。

  6. セットアップを続行し、Entra ID にリダイレクトするには、[保存] をクリックします。

  7. GitHub Enterprise Cloud によって IdP にリダイレクトされたら、サインインしてから指示に従って同意し、GitHub Enterprise Managed User (OIDC) アプリケーションをインストールします。 Entra ID によって OIDC での GitHub Enterprise Managed Users のアクセス許可が要求されたら、[Organization の代理として同意する] を有効にし、その後 [同意する] をクリックします。

    警告: GitHub Enterprise Managed User (OIDC) アプリケーションのインストールに同意するには、グローバル管理者権限を持つユーザーとして Entra ID にサインインする必要があります。

  8. 将来的に ID プロバイダーが利用できなくなった場合でも エンタープライズ GitHub にアクセスできるように、[ダウンロード][印刷]、または [コピー] をクリックして回復コードを保存してください。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」を参照してください。

  9. [OIDC 認証を有効にする] をクリックします。

プロビジョニングの有効化

OIDC SSO を有効にした後、プロビジョニングを有効にします。 「Configuring OIDC for Enterprise Managed Users」をご覧ください。

ゲスト コラボレーターの有効化

ゲストコラボレータのロールを使用して、Enterprise 内のベンダーや請負業者に限定的なアクセス権を付与できます。 Enterprise メンバーとは異なり、ゲスト コラボレーターは、メンバーである Organization 内の内部リポジトリにのみアクセスできます。

OIDC 認証でゲスト コラボレーターを使用するには、Entra ID で設定を更新する必要がある場合があります。 「ゲスト コラボレーターの有効化」をご覧ください。