Skip to main content

Okta を使う SAML シングルサインオンおよび SCIM を設定する

Okta を使う Security Assertion Markup Language (SAML) シングル サインオン (SSO) およびクロスドメイン ID 管理システム (SCIM) を使用すると、GitHub.com で Organization へのアクセスを自動的に管理することができます。

Who can use this feature

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

Okta での SAML と SCIM について

GitHub.com上のOrganizationやその他のWebアプリケーションへのアクセスは、SAML SSO及びSCIMをアイデンティティプロバイダ(IdP)であるOktaとともに使うようOrganizationを設定することで、1つの集中インターフェースから制御できます。

注: SAML シングル サインオンを使うには、Organization で GitHub Enterprise Cloud を使用している必要があります。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。

SAML SSO は、リポジトリや Issue、Pull Requestといった Organization のリソースに対するアクセスを制御し、保護します。 SCIMは、Oktaで変更があった場合にGitHub.com上のOrganizationへのメンバーアクセスを自動的に追加、管理、削除します。 詳しくは、「SAML シングル サインオンを使うアイデンティティおよびアクセス管理について」と「Organization の SCIM について」をご覧ください。

SCIM を有効にすると、Okta で GitHub Enterprise Cloud アプリケーションを割り当てる任意のユーザが次のプロビジョニング機能を使えるようになります。

機能説明
新しいユーザのプッシュOktaで新しいユーザを作成すると、そのユーザはGitHub.com上のOrganizationに参加するためのメールを受け取ります。
ユーザ無効化のプッシュユーザをOktaで無効化すると、OktaはそのユーザをGitHub.comのOrganizationから削除します。
プロフィール更新のプッシュOktaでユーザのプロフィールを更新すると、OktaはGitHub.comのOrganizationのそのデータのメンバーシップメタデータを更新します。
ユーザの再アクティブ化Oktaでユーザを再有効化すると、OktaはGitHub.comのOrganizationに再参加するための招待メールを送信します。

あるいは、EnterpriseでOktaを使うSAML SSOを設定することもできます。 Enterpriseアカウント用のSCIMは、Enterprise管理のユーザでのみ利用できます。 詳細については、「Okta を使用した企業の SAML シングル サインオンの構成」および「Okta でのエンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。

Okta で GitHub Enterprise Cloud アプリケーションを追加する

  1. アプリケーションの名前の下にある [サインオン] をクリックします。 Okta アプリケーションの [サインオン] タブのスクリーンショット 1. [サインオン方法] で [セットアップ手順の表示] をクリックします。
  2. SAML 2.0 の設定方法に関するガイドから、サインオン URL、発行者 URL、公開の証明書を使用して、GitHub での SAML SSO を有効化してテストします。 詳細については、「Organization 向けの SAML シングル サインオンを有効化してテストする」を参照してください。

Okta で SCIM を使ってアクセスのプロビジョニングを設定する

組織で SCIM を使用するには、サードパーティ所有の OAuth App を使用する必要があります。 OAuth App では、特定の GitHub ユーザーによって承認される必要があり、その後は、そのユーザーに代わって動作します。 この OAuth App を最後に承認したユーザーが組織から離れるか、組織から削除された場合、SCIM は動作を停止します。 この問題を回避するために、SCIM を構成するための専用ユーザー アカウントを作成することをお勧めします。 このユーザー アカウントは組織の所有者である必要があり、ライセンスを使用します。

  1. Organization のオーナーであり、SCIM 構成にのみ理想的に使用されるアカウントを使って、GitHub.com にサインインします。

  2. Organization のアクティブな SAML セッションを作成するには、https://github.com/orgs/ORGANIZATION-NAME/sso に移動します。 詳細については、「SAML のシングル サインオンでの認証について」を参照してください。

  3. Okta に移動します。

  4. 左側のサイドバーで、 [アプリケーション] ドロップダウンを使用し、 [アプリケーション] をクリックします。 1. アプリケーションのリストで、GitHub Enterprise Cloudを使うOrganizationのために作成したアプリケーションのラベルをクリックしてください。 1. アプリケーションの名前の下で [プロビジョニング] をクリックします。 Okta アプリケーションの [プロビジョニング] タブのスクリーンショット 1. [API 統合の構成] をクリックします。 1. [Enable API integration](API 統合を有効にする) を選択します。

  5. [GitHub Enterprise Cloud - Organization での認証] をクリックします。

  6. Organization 名の右側にある [許可] をクリックします。

    Organization にアクセスするために Okta SCIM 統合を認証する [許可] ボタン

  7. [OktaOAN の承認] をクリックします。

  8. [保存] をクリックします。 1. 同期エラーを回避し、ユーザーが SAML と SCIM のリンク ID を有効にしていることを確認するには、組織のユーザーを監査することをお勧めします。 詳しくは、「組織の ID とアクセス管理のトラブルシューティング」を参照してください。

  9. [アプリへのプロビジョニング] の右側にある [編集] をクリックします。

    Okta アプリケーションのプロビジョニング オプションの [編集] ボタンのスクリーンショット

  10. [ユーザーの作成][ユーザー属性の更新][ユーザーの非アクティブ化] の右にある [有効化] を選択します。

    [ユーザーの作成]、[ユーザー属性の更新]、[ユーザーの非アクティブ化] オプションの [有効化] チェック ボックスのスクリーンショット

  11. [保存] をクリックします。

参考資料