Skip to main content
ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2022-06-03. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの改善、新機能のためには、最新バージョンのGitHub Enterpriseにアップグレードしてください。 アップグレードに関する支援については、GitHub Enterprise supportに連絡してください。

Enterprise 向けの SAML シングルサインオンを設定する

You can control and secure access to GitHub Enterprise Serverインスタンス by configuring SAML single sign-on (SSO) through your identity provider (IdP).

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

SAML SSO について

SAML SSO を使用すると、SAML IdP から GitHub Enterprise Serverインスタンス へのアクセスを一元的に制御しアクセスをセキュアにできます。 認証されていないユーザがブラウザで GitHub Enterprise Serverインスタンス にアクセスすると、GitHub Enterprise Server はユーザを認証するために SAML IdP にリダイレクトします。 ユーザが IdP のアカウントで正常に認証されると、IdP はユーザを GitHub Enterprise Serverインスタンス にリダイレクトします。 GitHub Enterprise Server は、IdP からのレスポンスを検証してから、ユーザにアクセスを許可します。

ユーザーが IdP で正常に認証されると、GitHub Enterprise Serverインスタンス に対するユーザの SAML セッションはブラウザで 24 時間アクティブになります。 24 時間後、ユーザは IdP で再度認証を行う必要があります。

If you remove a user from your IdP, you must also manually suspend them. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. 詳しい情報についてはユーザのサスペンドとサスペンドの解除を参照してください。

サポートされているアイデンティティプロバイダ

GitHub Enterprise Server は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳しい情報については、OASIS Web サイトの SAML Wiki を参照してください。

GitHub officially supports and internally tests the following IdPs.

  • Active Directory フェデレーションサービス (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

SAML SSO の設定

You can enable or disable SAML authentication for GitHub Enterprise Serverインスタンス, or you can edit an existing configuration. You can view and edit authentication settings for GitHub Enterprise Server in the management console. For more information, see "Accessing the management console."

注釈: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for GitHub Enterprise Serverインスタンス. 詳しい情報については "ステージングインスタンスのセットアップ"を参照してください。

  1. From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .

    Screenshot of the rocket ship icon for accessing site admin settings

  2. If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.

    Screenshot of "Site admin" link

  3. 左のサイドバーでManagement Consoleをクリックしてください。 左のサイドバーのManagement Consoleタブ

  4. 左のサイドバーでAuthentication(認証)をクリックしてください。 設定サイドバーの認証タブ

  5. SAMLを選択してください。

    Screenshot of option to enable SAML authentication in management console

  6. Optionally, to allow people without an account on your external authentication system to sign in with built-in authentication, select Allow built-in authentication. For more information, see "Allowing built-in authentication for users outside your provider."

    Screenshot of option to enable built-in authentication outside of SAML IdP

  7. オプションで、未承諾応答SSOを有効化する場合は [IdP initiated SSO] を選択します。 デフォルトでは、GitHub Enterprise Serverは未承認アイデンティティプロバイダ (IdP) 起点のリクエストに対して、IdPへのAuthnRequest返信で応答します。

    Screenshot of option to enable IdP-initiated unsolicited response

    ノート:この値は選択しないでおくことをおすすめします。 この機能を有効にするのは、SAMLの実装がサービスプロバイダ起点のSSOをサポートしないまれな場合と、GitHub Enterprise Supportによって推奨された場合だけにすべきです。

  8. GitHub Enterprise Serverインスタンス 上のユーザの管理者権限を SAML プロバイダに決めさせたくない場合、[Disable administrator demotion/promotion] を選択します。

    Screenshot of option to enable option to respect the "administrator" attribute from the IdP to enable or disable administrative rights

  9. Single sign-on URL(シングルサインオンURL)フィールドに、使用するIdpのシングルサインオンのリクエストのためのHTTPあるいはHTTPSエンドポイントを入力してください。 この値はIdpの設定によって決まります。 ホストが内部のネットワークからしか利用できない場合、GitHub Enterprise Serverインスタンスを内部ネームサーバーを利用するように設定する必要があるかもしれません。

    Screenshot of text field for single sign-on URL

  10. または、[Issuer] フィールドに、SAML の発行者の名前を入力します。 これは、GitHub Enterprise Serverインスタンス へ送信されるメッセージの真正性を検証します。

    Screenshot of text field for SAML issuer URL

  11. [Signature Method] および [Digest Method] ドロップダウンメニューで、SAML の発行者が GitHub Enterprise Serverインスタンス からのリクエストの整合性の検証に使うハッシュアルゴリズムを選択します。 Name Identifier Format(Name Identifier形式)ドロップダウンメニューから形式を指定してください。

    Screenshot of drop-down menus to select signature and digest method

  12. [Verification certificate] の下で、[Choose File] をクリックし、IdP からの SAML のレスポンスを検証するための証明書を選択してください。

    Screenshot of button for uploading validation certificate from IdP

  13. 必要に応じてSAMLの属性名はIdPに合わせて修正してください。あるいはデフォルト名をそのまま受け付けてください。

    Screenshot of fields for entering additional SAML attributes

参考リンク