Skip to main content

Okta を使う SAML シングルサインオンおよび SCIM を設定する

Okta を使う Security Assertion Markup Language (SAML) シングルサインオン (SSO) および System for Cross-domain Identity Management (SCIM) を使用すると、 GitHub.com で Organization へのアクセスを自動的に管理することができます。

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

Okta での SAML と SCIM について

GitHub.com上のOrganizationやその他のWebアプリケーションへのアクセスは、SAML SSO及びSCIMをアイデンティティプロバイダ(IdP)であるOktaとともに使うようOrganizationを設定することで、1つの集中インターフェースから制御できます。

Note: To use SAML single sign-on, your organization must use GitHub Enterprise Cloud. For more information about how you can try GitHub Enterprise Cloud for free, see "Setting up a trial of GitHub Enterprise Cloud."

SAML SSO は、リポジトリや Issue、Pull Requestといった Organization のリソースに対するアクセスを制御し、保護します。 SCIMは、Oktaで変更があった場合にGitHub.com上のOrganizationへのメンバーアクセスを自動的に追加、管理、削除します。 詳しい情報については、「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」と「OrganizationのSCIM について」を参照してください。

SCIM を有効にすると、Okta で GitHub Enterprise Cloud アプリケーションを割り当てる任意のユーザが次のプロビジョニング機能を使えるようになります。

機能説明
新しいユーザのプッシュOktaで新しいユーザを作成すると、そのユーザはGitHub.com上のOrganizationに参加するためのメールを受け取ります。
ユーザ無効化のプッシュユーザをOktaで無効化すると、OktaはそのユーザをGitHub.comのOrganizationから削除します。
プロフィール更新のプッシュOktaでユーザのプロフィールを更新すると、OktaはGitHub.comのOrganizationのそのデータのメンバーシップメタデータを更新します。
ユーザの再アクティブ化Oktaでユーザを再有効化すると、OktaはGitHub.comのOrganizationに再参加するための招待メールを送信します。

あるいは、EnterpriseでOktaを使うSAML SSOを設定することもできます。 Enterpriseアカウント用のSCIMは、Enterprise管理のユーザでのみ利用できます。 詳しい情報については「EnterpriseでのOktaを使うSAMLシングルサインオンの設定」及び「Enterprise管理ユーザのためのOktaを使うSCIMプロビジョニングの設定」を参照してください。

Okta で GitHub Enterprise Cloud アプリケーションを追加する

  1. アプリケーション名の下で、Sign on(サインオン)をクリックしてください。 Screenshot of "Sign on" tab for Okta application
  2. [SIGN ON METHODS] で、[View Setup Instructions] をクリックします。
  3. SAML 2.0 の設定方法に関するガイドから、サインオン URL、発行者 URL、公開の証明書を使用して、GitHub での SAML SSO を有効化してテストします。 詳細は「Organization での SAML シングルサインオンの有効化とテスト」を参照してください。

Okta で SCIM を使ってアクセスのプロビジョニングを設定する

To use SCIM with your organization, you must use a third-party-owned OAuth App. The OAuth App must be authorized by, and subsequently acts on behalf of, a specific GitHub user. If the user who last authorized this OAuth App leaves or is removed from the organization, SCIM will stop working. To avoid this issue, we recommend creating a dedicated user account to configure SCIM. This user account must be an organization owner and will consume a license.

  1. Organizationのオーナーであり、理想的にはSCIMの設定だけに使われるアカウントを使ってGitHub.comにサインインしてください。

  2. OrganizationでアクティブなSAMLセッションを作成するには、https://github.com/orgs/ORGANIZATION-NAME/ssoにアクセスしてください。 詳しい情報については「SAML シングルサインオンでの認証について」を参照してください。

  3. Oktaにアクセスしてください。

  4. In the left sidebar, use the Applications dropdown and click Applications.

  5. アプリケーションのリストで、GitHub Enterprise Cloudを使うOrganizationのために作成したアプリケーションのラベルをクリックしてください。

  6. アプリケーション名の下で、Provisioning(プロビジョニング)をクリックしてください。 Screenshot of "Provisioning" tab for Okta application

  7. [Configure API Integration] をクリックします。

  8. [Enable API integration] を選択します。

  9. Authenticate with GitHub Enterprise Cloud - Organizationをクリックしてください。

  10. Organization 名の右にある [Grant] をクリックします。

    Organization にアクセスできるよう Okta SCIM インテグレーションを認証する [Grant] ボタン

  11. [Authorize OktaOAN] をクリックします。

  12. [Save] をクリックします。

  13. To avoid syncing errors and confirm that your users have SAML enabled and SCIM linked identities, we recommend you audit your organization's users. For more information, see "Auditing users for missing SCIM metadata."

  14. [Provisioning to App] の右にある [Edit] をクリックします。

    Screenshot of "Edit" button for Okta application's provisioning options

  15. To the right of Create Users, Update User Attributes, and Deactivate Users, select Enable.

    Screenshot of "Enable" checkboxes for "Create Users", "Update User Attributes", and "Deactivate Users" options

  16. [Save] をクリックします。

参考リンク