Okta を使う SAML シングルサインオンおよび SCIM を設定する

この記事の内容

Okta を使う Security Assertion Markup Language (SAML) シングル サインオン (SSO) およびクロスドメイン ID 管理システム (SCIM) を使用すると、GitHub.com で Organization へのアクセスを自動的に管理することができます。

この機能を使用できるユーザー

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

Okta での SAML と SCIM について

GitHub.com 上の Organization やその他の Web アプリケーションへのアクセスは、SAML SSO および SCIM をアイデンティティプロバイダ (IdP) である Okta とともに使用するよう Organization を設定することで、1 つの集中インターフェイスから制御できます。

注: SAML シングル サインオンを使うには、Organization で GitHub Enterprise Cloud を使用している必要があります。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。

SAML SSO は、リポジトリや Issue、Pull Requestといった Organization のリソースに対するアクセスを制御し、保護します。 SCIM は、Okta で変更があった場合に GitHub.com 上の Organization へのメンバーアクセスを自動的に追加、管理、削除します。 詳細については、「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」および「Organization の SCIM について」を参照してください。

SCIM を有効にすると、Okta で GitHub Enterprise Cloud アプリケーションを割り当てる任意のユーザが次のプロビジョニング機能を使えるようになります。

機能説明
新しいユーザのプッシュOkta で新しいユーザーを作成すると、そのユーザーは GitHub.com 上の Organization に参加するためのメールを受け取ります。
ユーザ無効化のプッシュユーザーを Okta で無効化すると、Okta はそのユーザーを GitHub.com の Organization から削除します。
プロフィール更新のプッシュOkta でユーザーのプロフィールを更新すると、Okta は GitHub.com の Organization のそのデータのメンバーシップ メタデータを更新します。
ユーザの再アクティブ化Okta でユーザーを再有効化すると、Okta は GitHub.com の Organization に再参加するための招待メールを送信します。

あるいは、EnterpriseでOktaを使うSAML SSOを設定することもできます。 Enterpriseアカウント用のSCIMは、Enterprise管理のユーザでのみ利用できます。 詳細については、「Okta を使用して Enterprise 向けの SAML シングル サインオンを設定する」および「Okta で SCIM プロビジョニングを構成する」を参照してください。

Okta で SAML を構成する

  1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。
  2. [アプリ カタログの参照] をクリックします。
  3. "GitHub Enterprise Cloud - Organization" という名前のアプリケーションを検索します。
  4. [統合の追加] をクリックします。
  5. フォームに入力し、GitHub での組織の名前と、[Application Label] (アプリケーション ラベル) フィールドで一意の名前を指定します。
  6. Oktaでユーザにアプリケーションを割り当ててください。 詳細については、Okta ドキュメントの「Assign applications to users (ユーザーにアプリケーションを割り当てる)」を参照してください。
  7. アプリケーションの名前の下にある [サインオン] をクリックします。
  8. [サインオン方法] で [セットアップ手順の表示] をクリックします。
  9. SAML 2.0 の設定方法に関するガイドから、サインオン URL、発行者 URL、公開の証明書を使用して、GitHub での SAML SSO を有効化してテストします。 詳しくは、「Organization 向けの SAML シングルサインオンを有効化してテストする」を参照してください。

Okta で SCIM を使ってアクセスのプロビジョニングを設定する

組織で SCIM を使用するには、サードパーティ所有の OAuth app を使用する必要があります。 OAuth app では、特定の GitHub ユーザーによって承認される必要があり、その後は、そのユーザーに代わって動作します。 この OAuth app を最後に承認したユーザーが組織から離れるか、組織から削除された場合、SCIM は動作を停止します。 この問題を回避するために、SCIM を構成するための専用ユーザー アカウントを作成することをお勧めします。 このユーザー アカウントは組織の所有者である必要があり、ライセンスを使用します。

  1. Organization のオーナーであり、SCIM 構成にのみ理想的に使用されるアカウントを使って、GitHub.com にサインインします。

  2. Organization のアクティブな SAML セッションを作成するには、https://github.com/orgs/ORGANIZATION-NAME/sso に移動します。 詳しくは、「SAMLのシングルサインオンでの認証について」を参照してください。

  3. Okta に移動します。

  4. 左側のサイドバーで、 [アプリケーション] ドロップダウンを使用し、 [アプリケーション] をクリックします。

  5. アプリケーションのリストで、GitHub Enterprise Cloudを使うOrganizationのために作成したアプリケーションのラベルをクリックしてください。

  6. アプリケーションの名前の下で [プロビジョニング] をクリックします。

  7. [API 統合の構成] をクリックします。

  8. [Enable API integration](API 統合を有効にする) を選択します。

  9. [GitHub Enterprise Cloud - Organization での認証] をクリックします。

  10. Organization 名の右側にある [許可] をクリックします。

    注: 組織が表示されない場合は、OAuth app アクセス制限が組織で有効になっている可能性があります。 続行するには、組織の「OKTA SCIM 統合」アプリを承認する必要があります。 詳しくは、「Organization 用の OAuth アプリの承認」を参照してください。

  11. [OktaOAN の承認] をクリックします。

  12. 保存をクリックします。

  13. 同期エラーを回避し、ユーザーが SAML と SCIM のリンク ID を有効にしていることを確認するには、組織のユーザーを監査することをお勧めします。 詳しくは、「組織の ID とアクセス管理のトラブルシューティング」を参照してください。

  14. [アプリへのプロビジョニング] の右側にある [編集] をクリックします。

  15. [ユーザーの作成] の右側にある [有効] を選びます。

  16. [ユーザー属性の更新] の右側にある [有効] を選びます。

  17. [ユーザーの非アクティブ化] の右側にある [有効] を選びます。

  18. [保存] をクリックします。

参考資料