Skip to main content

エンタープライズ IAM の SAML について

SAML シングル サインオン (SSO) を使用して、your GitHub Enterprise Server instance へのアクセスを一元的に管理できます。

your GitHub Enterprise Server instanceの SAML SSO について

SAML SSO を使用すると、ユーザーは ID 管理のために外部システムを介して your GitHub Enterprise Server instance に認証およびアクセスすることができます。

SAML は、認証と認可のための XML ベースの標準です。 your GitHub Enterprise Server instance の SAML を構成する場合、認証用の外部システムは ID プロバイダー (IdP) と呼ばれます。 インスタンスは SAML サービス プロバイダー (SP) として機能します。 SAML 標準の詳細については、Wikipedia の「Security Assertion Markup Language」を参照してください。

GitHub Enterprise Server 上の SAML SSO の構成については、「エンタープライズ向けの SAML シングル サインオンの構成」を参照してください。

IdP からユーザーを削除する場合は、ユーザーを手動で一時停止する必要もあります。 そうしないと、アカウントの所有者はアクセス トークンまたは SSH キーを使って引き続き認証を行うことができます。 詳細については、ユーザーの一時停止と一時停止解除に関するページを参照してください。

SAMLあるいはCASを利用する場合、GitHub Enterprise Server上では2要素認証はサポートあるいは管理されませんが、外部の認証プロバイダではサポートされることがあります。 Organizationでの2要素認証の強制はできません。 組織で 2 要素認証を適用する方法については、「組織で 2 要素認証を要求する」を参照してください。

外部認証プロバイダーのアカウントを持たない一部のユーザーに対して認証を許可する場合は、your GitHub Enterprise Server instance でローカル アカウントへのフォールバック認証を許可できます。 詳しくは、「プロバイダー外のユーザーのためのビルトイン認証の許可」を参照してください。

サポートされている IdP

GitHub Enterprise Server は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。

GitHub は、次の IdP を正式にサポートし、内部的にテストします。

  • Active Directory フェデレーション サービス (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

IdP で暗号化されたアサーションがサポートされている場合は、認証プロセス中にセキュリティを強化するために、GitHub Enterprise Server で暗号化されたアサーションを構成できます。

GitHub Enterprise ServerはSAMLシングルログアウトをサポートしていません。 アクティブなSAMLセッションを終了させるには、ユーザーは直接SAML IdPでログアウトしなければなりません。

参考資料