エンタープライズの SAML SSO について
SAML SSO を使用すると、ユーザーは ID 管理のために外部システムを介して お使いの GitHub Enterprise Server インスタンス に認証およびアクセスすることができます。
SAML は、認証と認可のための XML ベースの標準です。 お使いの GitHub Enterprise Server インスタンス の SAML を構成する場合、認証用の外部システムは ID プロバイダー (IdP) と呼ばれます。 インスタンスは SAML サービス プロバイダー (SP) として機能します。 SAML 標準の詳細については、Wikipedia の「Security Assertion Markup Language」を参照してください。
Note
SAML または LDAP のどちらか一方だけを使用でき、両方は使用できません。
SAML あるいは CAS を使う場合、GitHub Enterprise Server インスタンスで 2 要素認証はサポートあるいは管理されませんが、外部の認証プロバイダがサポートしている可能性があります。 Organizationでの2要素認証の強制はできません。 Organization での 2 要素認証の適用については、「Organization で 2 要素認証を要求する」を参照してください。
SAML を構成すると、お使いの GitHub Enterprise Server インスタンス を使うユーザーは、personal access token を使って、API 要求を認証する必要があります。 詳しくは、「個人用アクセス トークンを管理する」をご覧ください。
外部認証プロバイダーのアカウントを持たない一部のユーザーに対して認証を許可する場合は、お使いの GitHub Enterprise Server インスタンス でローカル アカウントへのフォールバック認証を許可できます。 詳しくは、「使用しているプロバイダーの外部ユーザーのためのビルトイン認証の許可」をご覧ください。
GitHub での SAML SSO の構成について詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。
ユーザー アカウントの作成について
既定では、アプリケーションを割り当てまたは割り当て解除したときに、IdP はGitHub と自動的に通信はしません。 GitHub は、Enterprise のリソース (お使いの GitHub Enterprise Server インスタンス 上) に誰かが初めて移動したときに、SAML Just-in-Time (JIT) プロビジョニングを使用してユーザー アカウントを作成し、IdP を通じて認証してサインインします。 GitHub へのアクセスを許可した際には、ユーザーへの手動での通知が必要になる場合があり、オフボードの間に GitHub で手動で、ユーザー アカウントを無効化する必要があります。
または、SAML JIT プロビジョニングの代わりに、SCIM を使用して、IdP でアプリケーションを割り当てまたは割り当て解除した後、自動的に、ユーザー アカウントを (その後、お使いの GitHub Enterprise Server インスタンス へのアクセスを許可または拒否)作成または停止できます。現在、GitHub Enterprise Server の SCIM は非公開ベータ中であり、変更される可能性があります。詳しくは、「About SAML for enterprise IAM」をご覧ください。
JIT プロビジョニングでは、IdP からユーザーを削除する場合、お使いの GitHub Enterprise Server インスタンス でユーザーのアカウントを手動で中断する必要があります。 そうしないと、アカウントの所有者はアクセス トークンまたは SSH キーを使って引き続き認証を行うことができます。 詳しくは、「ユーザーのサスペンドとサスペンドの解除」をご覧ください。
サポートされている IdP
GitHub は、SAML 2.0 標準を実装する IdP を使用した SAML SSO をサポートします。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。
GitHub は、次の IdP を正式にサポートし、内部的にテストします。
- Microsoft Active Directory フェデレーション サービス (AD FS)
- Microsoft Entra ID (旧称 Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
IdP でアサーションの暗号化がサポートされている場合は、認証プロセス中にセキュリティを強化するため、GitHub Enterprise Server で暗号化されたアサーションを構成できます。
GitHub は SAML シングル ログアウトをサポートしていません。 アクティブなSAMLセッションを終了させるには、ユーザーは直接SAML IdPでログアウトしなければなりません。
参考資料
- Enterprise IAM での SAML の使用
- OASIS の Web サイトの SAML Wiki
- IETF の Web サイトの「クロスドメイン ID 管理システム: プロトコル (RFC 7644)」