この記事の手順に従う前に、Enterprise でマネージド ユーザーを使っていること、およびユーザー名が Enterprise のショートコードに _admin というサフィックスが付いたものであるセットアップ ユーザーとして自分がサインインしていることを確認してください。 自分が正しいユーザーでサインインしていることは、Enterprise ビューの画面の上部に [Viewing as SHORTCODE_admin] というヘッダー バーがあるかどうかを調べて確認できます。 これが表示されている場合は、正しいユーザーでサインインしており、この記事の手順に従うことができます。 セットアップ ユーザーについて詳しくは、「Enterprise Managed Users の概要」をご覧ください。
企業で個人用アカウントを使用している場合は、別のプロセスに従って SAML シングル サインオンを構成する必要があります。 「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。
Enterprise Managed Users の SAML SSO について
Enterprise Managed Usersでは、GitHub.comまたはGHE.com上の企業のリソースへのアクセスは、ID プロバイダー (IdP) を介して認証する必要があります。 企業のメンバーは、 GitHub のユーザー名とパスワードを使用してサインインする代わりに、IdP を使用してサインインします。
SAML SSO を構成した後は、IdP が利用できない場合に Enterprise へのアクセスを回復できるように、回復用コードを格納することをお勧めします。
現在、認証に SAML SSO を使っており、OIDC を使って CAP サポートの恩恵を受けたい場合は、移行パスをたどることができます。 詳しくは、「SAML から OIDC への移行」をご覧ください。
前提条件
-
IdP の統合要件とサポート レベルを理解します。
-
GitHub では、**パートナー IdP** を認証およびプロビジョニングのために使用する場合、簡略化された統合パスと完全なサポートが提供されます。 - または、SAML 2.0 と SCIM 2.0 に準拠する任意のシステムまたはシステムの組み合わせを使用できます。 ただし、これらのシステムの問題を解決するためのサポートが限られている場合があります。
詳細については、「Enterprise Managed Users について」を参照してください。
-
-
IdP は SAML 2.0 仕様に準拠している必要があります。 OASIS の Web サイトの「SAML Wiki」をご覧ください。
-
IdP へのテナント管理者アクセスが必要です。
-
新しい企業に対して SAML SSO を構成する場合は、最初の構成プロセスでこれまでの全手順を完了してください。 「Enterprise Managed Users の概要」を参照してください。
Enterprise Managed Users 用の SAML SSO を構成する
マネージド ユーザーを含む Enterpriseの SAML SSO を構成するには、IdP でアプリケーションを構成してから、GitHubでエンタープライズを構成する必要があります。 SAML SSO を構成したら、ユーザー プロビジョニングを構成できます。
1. IdP を構成する 1. Enterprise を構成する 1. プロビジョニングを有効にする
IdP を構成する
-
パートナー IdP を使用する場合は、 GitHub Enterprise Managed User アプリケーションをインストールするには、IdP と環境のリンクをクリックします。
ID プロバイダー GitHub.com 用アプリ GHE.com 用アプリ Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User [ GitHub Enterprise Managed User - ghe.com](https://www.okta.com/integrations/github-enterprise-managed-user-ghe-com/) || PingFederate | PingFederate ダウンロード Web サイト ([アドオン] タブに移動し、EMU コネクタ 1.0 GitHub 選択) | PingFederate ダウンロード Web サイト ([アドオン] タブに移動し、EMU コネクタ 1.0 GitHub 選択) |
-
パートナー IdP で Enterprise Managed Users の SAML SSO を構成するには、IdP と環境に関連するドキュメントを参照してください。
| ID プロバイダー | GitHub.com のドキュメント | GHE.com のドキュメント | | ----------------- | ------------- | ------------------- | | Microsoft Entra ID | Microsoft Learn | Microsoft Learn | | Okta | エンタープライズ マネージド ユーザーの Okta を使った SAML シングル サインオンの構成 | エンタープライズ マネージド ユーザーの Okta を使った SAML シングル サインオンの構成 | | PingFederate | 「PingFederate を使用して認証とプロビジョニングを設定する」(「前提条件」と「1. SAML を構成するセクション) | 「PingFederate を使用して認証とプロビジョニングを設定する」(「前提条件」と「1. SAML を構成するセクション) |
または、パートナー IdP を使用しない場合は、 GitHub の SAML 構成リファレンスを使用して、IdP で汎用 SAML 2.0 アプリケーションを作成および構成できます。 「SAML 構成リファレンス」を参照してください。
-
企業をテストおよび構成するには、IdP 上で GitHub 用に構成したアプリケーションに、エンタープライズの SAML SSO を構成するためのユーザーとして自分または他のユーザーを割り当ててください。
メモ
構成時に成功した認証接続をテストするには、少なくとも 1 人のユーザーを IdP に割り当てる必要があります。
-
GitHubでエンタープライズの構成を続行するには、IdP にインストールしたアプリケーションから次の情報を見つけてメモします。値 その他の名前 説明 IdP のサインオン URL ログイン URL、IdP URL IdP 上のアプリケーションの URL IdP 識別子 URL 発行者 SAML 認証用のサービス プロバイダーに対する IdP 識別子 署名証明書、PEM エンコード済み 公開証明書 IdP が認証要求に署名するために使用する公開証明書
Enterprise を構成する
IdP で Enterprise Managed Users の SAML SSO を構成したら、 GitHubでエンタープライズを構成できます。
SAML SSO の初期構成の後、既存の SAML 構成の GitHub に対して更新できる唯一の設定は SAML 証明書です。これは、エンタープライズ所有者ロールを持つ任意のメンバーが実行できます。 サインオン URL または発行元 URL を更新する必要がある場合は、まず SAML SSO を無効にしてから、新しい設定で SAML SSO を再構成する必要があります。 詳しくは、「Enterprise Managed User の認証を無効にする」をご覧ください。
-
ユーザー名 SHORTCODE_admin を使って、Enterprise のセットアップ ユーザーとしてサインインします。SHORTCODE は、Enterprise の短いコードに置き換えます。
メモ
セットアップ ユーザーのパスワードをリセットする必要がある場合、GitHub Support ポータル から GitHub のサポート に問い合わせます。 メール アドレスを指定した通常のパスワードのリセット オプションは機能しません。
-
**パートナー以外の IdP** (Okta、PingFederate、または Entra ID 以外の IdP) を使っている場合は、SAML を有効にする前に、REST API を使って SCIM を設定できるように設定を更新する必要があります。 「[AUTOTITLE](/admin/managing-iam/provisioning-user-accounts-with-scim/configuring-scim-provisioning-for-users#configuring-provisioning-for-other-identity-management-systems)」を参照してください。 -
企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。
-
ページの上部にある [Identity provider] をクリックします。
-
[Identity Provider] で、[Single sign-on configuration] をクリックします。
-
[SAML single sign-on] で、SAML設定を追加 を選択します。
-
**[サインオン URL]** に、IdP の構成時にメモした SSO 要求の IdP の HTTPS エンドポイントを入力します。 -
**[発行者]** に、IdP の構成時にメモした SAML 発行者 URL を入力して、送信されたメッセージの信頼性を確認します。 -
**[公開証明書]** で、IdP の構成時にメモした証明書を貼り付けて、SAML 応答を確認します。メモ
GitHub は、この SAML IdP 証明書の有効期限を管理しません。 つまり、この証明書の有効期限が切れても、SAML 認証は引き続き機能します。 ただし、 GitHubの推奨事項は、有効期限が切れる前に証明書を更新することです。 有効期限が切れた証明書で署名された SAML 応答を受け入れますが、ID プロバイダー レベルで証明書の期限切れがどのように処理されるかについてはコメントできません。 IdP 管理者が SAML 証明書を再生成し、 GitHub 側で更新しない場合、ユーザーは証明書の不一致のために SAML 認証の試行中に `digest mismatch` エラーが発生します。 「[エラー: "Digest mismatch"](/admin/managing-iam/using-saml-for-enterprise-iam/troubleshooting-saml-authentication#error-digest-mismatch)」を参照してください。 -
同じ [Public Certificate] セクションで [Signature Method] と [Digest Method] のドロップダウン メニューを選び、SAML 発行者が使っているハッシュ アルゴリズムをクリックします。
-
Enterprise で SAML SSO を有効化する前に、 [Test SAML configuration](SAML 構成のテスト) をクリックして、入力した情報が正しいか確認します。 このテストではサービス プロバイダーによって開始される (SP によって開始される) 認証が使われ、SAML 設定を保存するにはこれに成功する必要があります。
-
**[Save SAML settings](SAML 設定の保存)** をクリックします。メモ
エンタープライズに SAML SSO を必要とし、SAML 設定を保存した後も、セットアップ ユーザーは引き続きエンタープライズにアクセスでき、エンタープライズへのアクセス権を持つ IdP によってプロビジョニングされた マネージド ユーザー アカウント と共に GitHub にサインインしたままになります。
-
将来的に ID プロバイダーが利用できなくなった場合でも エンタープライズ GitHub にアクセスできるように、[ダウンロード]、[印刷]、または [コピー] をクリックして回復コードを保存してください。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」をご覧ください。
プロビジョニングを有効にする
SAML SSO を有効にした後、プロビジョニングを有効にします。 詳しくは、「Configuring SAML single sign-on for Enterprise Managed Users」をご覧ください。
ゲスト コラボレーターの有効化
ゲストコラボレータのロールを使用して、Enterprise 内のベンダーや請負業者に限定的なアクセス権を付与できます。 Enterprise メンバーとは異なり、ゲスト コラボレーターは、メンバーである Organization 内の内部リポジトリにのみアクセスできます。
SAML 認証に Entra ID または Okta を使用する場合は、ゲスト コラボレーターを使用するように IdP アプリケーションを更新することが必要な場合があります。 詳しくは、「ゲスト コラボレーターの有効化」をご覧ください。