Skip to main content
ドキュメントには� �繁に更新が� えられ、その都度公開されています。本ページの翻訳はま� 未完成な部分があることをご了承く� さい。最新の情� �については、英語のドキュメンテーションをご参照く� さい。本ページの翻訳に問題がある� �合はこちらまでご連絡く� さい。
Enterprise Server 3.0
日本語
� 
Enterprise administrators
Enterprise Server 3.0
日本語

� 

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2022-02-16. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの改善、新機能のためには、最新バージョンのGitHub Enterpriseにアップグレードしてく� さい。 アップグレードに関する支援については、GitHub Enterprise supportに連絡してく� さい。

LDAPの利用

ここには以下の内容があります:

LDAP を使えば、既存のアカウントに対して GitHub Enterprise Server を認証させることができ、リポジトリへのアクセスを集中管理できます。 LDAPはディレクトリ情� �サービスへのアクセスと管理のための広く使われているアプリケーションプロトコルで、大企業のユーザディレクトリとサードパーティのソフトウェアを統合するために使われている最も一般的なプロトコルの1つです。

If you want to authenticate some users without adding them to your identity provider, you can configure built-in authentication in addition to SAML SSO. 詳細は「使用中のアイデンティティプロバイダ外のユーザのためにビルトイン認証を許可する」を参照してく� さい。

サポートされているLDAPサービス

GitHub Enterprise Server は、以下の LDAP サービスと統合できます:

  • Active Directory
  • FreeIPA
  • Oracle Directory Server Enterprise Edition
  • OpenLDAP
  • Open Directory
  • 389-ds

LDAPでのユーザ名についての考慮

GitHub Enterprise Serverのユーザ名に使えるのは、英数字とダッシュ(-)のみです。 GitHub Enterprise Serverは、アカウントのユーザ名に含まれている非英数字をダッシュに変換します。 たとえばgregory.st.johnというユーザ名は、gregory-st-johnに変換されます。 変換されたユーザ名の先� �及び末尾はダッシュであってはならないことに注意してく� さい。 2つの連続するダッシュを含めることもできません。

メールアドレスから作成されたユーザ名は、@以前の文字を変換して作成されます。

複数のアカウントが変換後に同じGitHub Enterprise Serverのユーザ名になる� �合、最初のユーザアカウント� けが作成されます。 同じユーザ名のそれ以降のユーザは、サインインできません。

以下の表は、ユーザ名がGitHub Enterprise Serverでどのように変換されるかの例を示しています。

ユーザ名変換されたユーザ名結果
Ms.Bubblesms-bubblesこのユーザ名の作成は成功します。
!Ms.Bubbles-ms-bubblesこのユーザ名はダッシュで始まるので作成されません。
Ms.Bubbles!ms-bubbles-このユーザ名はダッシュで終わるので作成されません。
Ms!!Bubblesms--bubblesこのユーザ名には連続する2つのダッシュが含まれるので作成されません。
Ms!Bubblesms-bubblesこのユーザ名は作成されません。 変換されたユーザ名は正当ですが、すでに存在しています。
Ms.Bubbles@example.comms-bubblesこのユーザ名は作成されません。 変換されたユーザ名は正当ですが、すでに存在しています。

2 要� 認証

LDAPもしくはビルトイン認証を使っている� �合、2要� 認証がサポートされます。 Organizationの管理者は、メンバーに対して2要� 認証の有効化を必� �とすることができます。

your GitHub Enterprise Server instanceとのLDAPの設定

LDAPを設定した後、ユーザは自分のLDAPクレデンシャルでインスタンスにサインインできるようになります。 ユーザが初めてサインインするときに、ディレクトリ内のLDAP属性を使ってプロフィール名、メールアドレス、SSHキーが設定されます。

Management Console経由でユーザのLDAPアクセスを設定した� �合、インスタンスにユーザが初めてサインインするまで、ユーザライセンスは使われません。 た� し、サイト管理設定を使ってマニュアルでアカウントを作成した� �合、ユーザライセンスはすぐに使われます。

警告:your GitHub Enterprise Server instanceでLDAPを設定する前に、利用するLDAPサービスがページ化された結果をサポートしていることを確認してく� さい。

  1. From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .

    Screenshot of the rocket ship icon for accessing site admin settings

  2. If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.

    Screenshot of "Site admin" link

  3. 左のサイドバーでManagement Consoleをクリックしてく� さい。 左のサイドバーのManagement Consoleタブ

  4. 左のサイドバーでAuthentication(認証)をクリックしてく� さい。 設定サイドバーの認証タブ

  5. "Authentication(認証)"の下でLDAPを選択してく� さい。 LDAP の選択

  6. Optionally, to allow people to use built-in authentication if they don't have an account on your IdP, select Allow built-in authentication. 詳細は「使用中のアイデンティティプロバイダ外のユーザのためにビルトイン認証を許可する」を参照してく� さい。 LDAP のビルトイン認証の選択チェックボックス

  7. 設定を追� してく� さい。

LDAPの属性

your GitHub Enterprise Server instanceのlDAPの設定を完了させるために、以下の属性を使ってく� さい。

属性名種類説明
Host必� �LDAP のホスト。例: ldap.example.com あるいは 10.0.0.30。 ホスト名が内部ネットワークからしか利用できないなら、まずyour GitHub Enterprise Server instanceのDNSを設定してホスト名を内部のネー� サーバを使って解決できるようにする必要があるかもしれません。
ポート必� �ホストの LDAP サービスが待ち受けるポート。 例:389及び636(LDAPS用)。
Encryption必� �LDAP サーバーとの通信をセキュアにするために使われる暗号化の方法。 例:plain(暗号化なし)、SSL/LDAPS(最初からの暗号化)、StartTLS(接続後に暗号化通信にアップグレード)。
Domain search user任意認証を許可するために、サインインする他のユーザを検索する LDAP ユーザ。 これは通常、サードパーティとのインテグレーションのために特に作成されるサービスアカウントです。 cn=Administrator,cn=Users,dc=Example,dc=comのような完全修飾名を使ってく� さい。 Active Directoryでは、ドメイン検索ユーザとして [DOMAIN]\[USERNAME]という構文(例:WINDOWS\Administrator)を使うこともできます。
Domain search password任意ドメイン検索ユーザのためのパスワード。
Administrators group任意このグループ内のユーザは、アプライアンスへサインインしたときにサイト管理者に昇� �します。 LDAPの管理者グループを設定しなければ、アプライアンスに最初にサインインしたLDAPユーザが自動的にサイト管理者に昇� �します。
Domain base必� �ユーザおよびグループの検索を行う LDAP サブツリーの完全修飾 Distinguished Name (DN)。 いくつでも追� できるが、それぞれのグループはユーザが属するのと同じドメインベースで定義されなければなりません。 制限されたユーザグループを指定したなら、それらのグループに属するユーザ� けがスコープに入ります。 ドメインベースにはLDAPディレクトリツリーの最上位を指定し、制限されたユーザグループでアクセス制御することをおすすめします。
Restricted user groups任意指定された� �合、このグループ内のユーザ� けがログインできます。 指定が必要なのはグループのcommon name(CN)� けで、グループはいくつでも追� できます。 グループが指定されていなければ、指定されたドメインベースのスコープ内のすべてのユーザが GitHub Enterprise Server インスタンスにサインインできるようになります。
User ID必� �認証を受けようとした LDAP ユーザを特定する LDAP 属性。 マッピングが確立されたら、ユーザは自分の GitHub Enterprise Server ユーザ名を変更できます。 このフィールドはほとんどのActive Directoryの環境ではsAMAccountNameにすべきですが、OpenLDAPなどの他のLDAPソリューションではuidになることがあります。 デフォルト値はuidです。
Profile name任意ユーザの GitHub Enterprise Server プロフィールページに表示される名前。 LDAP Syncが有効化されていなければ、ユーザは自分のプロフィール名を変更できます。
Emails任意ユーザの GitHub Enterprise Server アカウントのメールアドレス。
SSH keys任意ユーザの GitHub Enterprise Server アカウントにアタッチされた公開 SSH キー。 キーはOpenSSH形式でなければなりません。
GPG keys任意ユーザの GitHub Enterprise Server アカウントにアタッチされたGPGキー。
Disable LDAP authentication for Git operations任意選択した� �合、ユーザが LDAP パスワードで Git の操作の認証を受けるのがオフになります。
Enable LDAP certificate verification任意選択した� �合、LDAP 証明書の検証がオンになります。
Synchronization任意選択した� �合、LDAP Sync がオンになります。

Gitの操作のパスワード認証の無効化

LDAP 設定中の [Disable username and password authentication for Git operations(Git の操作でのユーザ名およびパスワード認証の無効化)] を選択し、Git アクセスでの個人アクセストークンあるいは SSH キーの使用を強制してく� さい。そうすれば、サーバーが LDAP 認証のリクエストで過� 荷になるのを防ぐのに役に立ちます。 特にポーリングによる大量のリクエストと組み合わさると、レスポンスの遅いLDAPサーバーは� �繁にパフォーマンス問題や障害の原� となるので、この設定をおすすめします。

GItチェックボックスのためのLDAPパスワード認証の無効化

このオプションが選択されると、ユーザがコマンドライン経由のGitの操作でパスワードを使おうとすると、次のようなエラーメッセージが返されます。Password authentication is not allowed for Git operations. You must use a personal access token.

LDAPの証明書検証の有効化

TLSと共に使うLDAPサーバの証明書を検証するには、LDAPの設定でEnable LDAP certificate verification(LDAPの証明書検証の有効化)を選択してく� さい。

LDAP証明書の検証ボックス

このオプションが選択されると、以下のことを確実にするために証明書が検証されます:

  • 証明書にAlternative Name (SAN) が少なくとも1つ含まれている� �合には、SANの1つがLDAPホスト名に一致し、 そうでない� �合はコモンネー�  (CN) がLDAPホスト名に一致すること。
  • 証明書の期限が切れていないこと。
  • 証明書が信� �されている認証局 (CA) によって署名されていること。

LDAP Syncの有効化

注釈: LDAP Sync を使用する Team は、最大 1499 人のメンバーに制限されています。

LDAP Sync を使うと、GitHub Enterprise Server のユーザおよび Team のメンバーシップを、確立された LDAP グループに対して同期できます。 そうすることで、GitHub Enterprise Server 内で手作業で行う代わりに、LDAP サーバからユーザのロールベースのアクセス制御を確立できます。 詳細は「チー� を作成する」を参照してく� さい。

LDAP Sync を有効化するには、[Synchronize Emails]、[Synchronize SSH Keys]、または [Synchronize GPG Keys] を選択します。

同期チェックボックス

LDAP Sync を有効化すると、同期のジョブが指定された間隔で動作し、各ユーザアカウントに対して以下の操作を行います:

  • アイデンティティプロバイダ外のユーザに対してビルトイン認証を許可し、ユーザがビルトイン認証を使っているなら、次のユーザに進みます。
  • ユーザに LDAP のマッピングが存在しないなら、ユーザをディレクトリ中の LDAP エントリにマップしようとします。 ユーザが LDAP のエントリにマップできなかった� �合、ユーザをサスペンドして次のユーザに進みます。
  • LDAP マッピングが存在し、ディレクトリ中の対応する LDAP のエントリが� けている� �合、そのユーザをサスペンドして次のユーザに進みます。
  • 対応する LDAP のエントリが無効としてマークされており、ユーザがま� サスペンドされていないなら、そのユーザをサスペンドして次のユーザに進みます。
  • 対応する LDAP のエントリが無効としてマークされておらず、そのユーザがサスペンドされており、Admin center で [Reactivate suspended users(サスペンドされたユーザを再アクティベート] が有効化されているなら、ユーザのサスペンドを解除します。
  • If one or more restricted user groups are configured on the instance and the corresponding LDAP entry is not in one of these groups, suspend the user.
  • If one or more restricted user groups are configured on the instance, the corresponding LDAP entry is in one of these groups, and Reactivate suspended users is enabled in the Admin Center, unsuspend the user.
  • 対応する LDAP エントリが name 属性を含んでいるなら、ユーザのプロフィール名を更新します。
  • 対応する LDAP エントリが Administrators グループ内にあるなら、そのユーザをサイト管理者に昇� �させます。
  • 対応する LDAP エントリが Administrators グループ内にないなら、そのユーザを通常のアカウントに降� �させます。
  • LDAP の User フィールドがメール用に定義されているなら、ユーザのメール設定を LDAP のエントリと同期します。 最初の LDAP の mail エントリをプライマリのメールとして設定します。
  • LDAP の User フィールドが公開 SSH キー用に定義されているなら、ユーザの公開 SSH キーを LDAP のエントリと同期します。
  • LDAP の User フィールドが GPG キー用に定義されているなら、ユーザの GPG キーを LDAP のエントリと同期します。

メモ: LDAP のエントリが無効としてマークされるのは、Active Directory を使用しており、userAccountControl が存在して ACCOUNTDISABLE とされている� �合のみです。 Some variations of Active Directory, such as AD LDS and ADAM, don't support the userAccountControl attribute.

同期ジョブは、LDAP グループにマップされなかった各 Team に対して以下の操作を行うためにも、指定された間隔で動作します。

  • Team に対応する LDAP グループが削除された� �合、すべてのメンバーを Team から削除します。
  • LDAP グループから LDAP のメンバーエントリが削除された� �合、対応するユーザを Team から削除します。 If the user is no longer a member of any team in the organization, remove the user from the organization. その結果、ユーザがリポジトリへのアクセスを失った� �合、それらのリポジトリでユーザが持っていたプライベートなフォークを削除します。
  • LDAP グループに LDAP のメンバーエントリが追� された� �合、対応するユーザを Team に追� します。 その結果、ユーザがリポジトリへのアクセスを再度得ることになった� �合、過去 90 日以内にユーザがアクセスを失ったために削除されたリポジトリのプライベートフォークがリストアされます。

LDAP同期は、最適化設定の一部として、入れ子チー� の構� を転送しません。 親子Teamの関係を作りたい� �合は、入れ子チー� の構� を手動で再作成し、対応するLDAPグループに同期させなければなりません。 詳しい情� �については「Teamの作成」を参照してく� さい。

セキュリティの警告:

LDAP Sync が有効化されると、サイト管理者と Organization のオーナーは Team をマップするグループを LDAP のディレクトリで検索できます。

これは、以下を含む組織に関する機密情� �を契約者やその他の権限を持たないユーザに開示してしまう可能性があります。

  • ドメイン検索ユーザに特定の LDAP グループの存在が見えてしまう。
  • GitHub Enterprise Server のユーザアカウントを持つ LDAP グループのメンバーが、その LDAP グループと同期する Team を作ったときに開示されてしまう。

こういった情� �が開示されることを望まないなら、企業あるいは組織は管理コンソールで設定されたドメイン検索ユーザの権限を制限しなければなりません。 そういった制限ができない� �合は、GitHub Enterprise Support に連絡してく� さい。

サポートされるLDAPグループのオブジェクトクラス

GitHub Enterprise Server は、以下の LDAP グループオブジェクトクラスをサポートします。 グループは入れ子にできます。

  • group
  • groupOfNames
  • groupOfUniqueNames
  • posixGroup

LDAPユーザの表示と作成

インスタンスにアクセスできる LDAP ユーザの完全なリストを表示し、新しいユーザをプロビジョニングできます。

  1. http(s)://HOSTNAME/loginでyour GitHub Enterprise Server instanceにサインインしてく� さい。

  2. From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .

    Screenshot of the rocket ship icon for accessing site admin settings

  3. If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.

    Screenshot of "Site admin" link

  4. 左のサイドバーでLDAP users(LDAPユーザ)をクリックしてく� さい。 LDAP ユーザタブ

  5. ユーザを検索するには、完全なユーザ名もしくはユーザ名の一部を入力し、Search(検索)をクリックしてく� さい。 検索結果に該当するユーザが表示されます。 該当するユーザがいなければ、Create(作成)をクリックして新しいユーザアカウントをプロビジョニングできます。 LDAP検索

LDAPアカウントの更新

LDAP Sync が有効化されていない限り、LDAP アカウントへの変更は自動的には GitHub Enterprise Server に同期されません。

手動でのLDAPアカウントの同期

  1. http(s)://HOSTNAME/loginでyour GitHub Enterprise Server instanceにサインインしてく� さい。

  2. From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .

    Screenshot of the rocket ship icon for accessing site admin settings

  3. If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.

    Screenshot of "Site admin" link

  4. 検索フィールドでユーザ名を入力し、Search(検索)をクリックしてく� さい。 [Site admin settings search] フィールド

  5. 検索結果で、ユーザ名をクリックしてく� さい。 サイドアドミン設定の検索オプション

  6. ページの右上から Admin(管理)をクリックしてく� さい。 管理ツール

  7. 左のサイドバーで Admn(管理)をクリックしてく� さい。 管理ツール

  8. "LDAP"の下でSync now(即時同期)をクリックして、LDAPサーバからのデータでアカウントを手動更新してく� さい。 LDAPの即時同期ボタン

API を使用して手動同期をトリガーすることもできます。

your GitHub Enterprise Server instanceへのアクセスの削除

LDAP Sync が有効化されているなら、ユーザの LDAP のクレデンシャルを削除すれば、次の同期が行われた後にそのユーザのアカウントはサスペンドされます。

LDAP Sync が有効化されていないなら、LDAP のクレデンシャルの削除後に GitHub Enterprise Server アカウントを手動でサスペンドしなければなりません。 詳細は「ユーザのサスペンドとサスペンドの解除」を参照してく� さい。