GitHub Enterprise Server の CAS 認証について
CAS は、複数の Web アプリケーションへの認証を一元化するシングル サインオン (SSO) プロトコルです。 詳しくは、Wikipedia の「Central Authentication Service」を参照してください。
CAS を構成すると、お使いの GitHub Enterprise Server インスタンス を使うユーザーは、personal access token を使って、HTTP 経由で API または Git 要求を認証する必要があります。 CAS 資格情報を使用してこれらの要求を認証することはできません。 詳しくは、「個人用アクセス トークンを管理する」をご覧ください。
CAS を構成する場合、ID プロバイダー (IdP) のアカウントを持つユーザーは、ユーザーが お使いの GitHub Enterprise Server インスタンス にサインインするまで、ユーザー ライセンスを消費しません。
外部認証プロバイダーのアカウントを持たない一部のユーザーに対して認証を許可する場合は、お使いの GitHub Enterprise Server インスタンス でローカル アカウントへのフォールバック認証を許可できます。 詳しくは、「使用しているプロバイダーの外部ユーザーのためのビルトイン認証の許可」をご覧ください。
CASでのユーザ名についての考慮
GitHub は、外部認証プロバイダーからの値を正規化して、お使いの GitHub Enterprise Server インスタンス 上の Enterprise 内の新しい個人アカウントごとのユーザー名を決定します。詳しくは、「外部認証のユーザー名に関する考慮事項」をご覧ください。
CASの属性
username 属性は必須であり、GitHub Enterprise Server ユーザー名に設定する必要があります。
他の属性は使用できません。
CASの設定
-
GitHub Enterprise Server の管理アカウントから、任意のページの右上隅にある をクリックします。
-
[サイト管理者] ページにまだ表示されていない場合は、左上隅の [サイト管理者] をクリックします。
-
[ サイト管理者] サイドバーで [Management Console] をクリックします。
-
[設定] サイドバーで [認証] をクリックします。
-
[認証] で [CAS] を選択します。
-
必要に応じて、外部認証システムのアカウントを持たないユーザーがビルトイン認証でサインインできるようにするには、 [Allow built-in authentication](ビルトイン認証を許可する) を選択します。 詳しくは、「使用しているプロバイダーの外部ユーザーのためのビルトイン認証の許可」をご覧ください。
-
[サーバー URL] フィールドに、CAS サーバーの完全な URL を入力します。 GitHub Enterprise Server で検証できない証明書が CAS サーバーで使用されている場合、
ghe-ssl-ca-certificate-installを使用して信頼済みの証明書としてインストールできます。 詳しくは、「コマンド ライン ユーティリティ」をご覧ください。 -
構成を適用するには、次のコマンドを実行します。
Note
構成の実行中に、お使いの GitHub Enterprise Server インスタンス 上のサービスが再起動する可能性があり、これによりユーザーに短時間のダウンタイムが発生する場合があります。
Shell ghe-config-apply
ghe-config-apply -
設定の実行が完了するのを待ってください。