Enterprise 向けの SAML シングルサインオンを設定する

SAML SSO について

SAML SSO を使用すると、SAML IdP から GitHub Enterprise Serverインスタンスへのアクセスを一元的に制御しアクセスをセキュアにできます。認証されていないユーザがブラウザで GitHub Enterprise Serverインスタンスにアクセスすると、GitHub Enterprise Server はユーザを認証するために SAML IdP にリダイレクトします。ユーザが IdP のアカウントで正常に認証されると、IdP はユーザを GitHub Enterprise Serverインスタンスにリダイレクトします。 GitHub Enterprise Server は、IdP からのレスポンスを検証してから、ユーザにアクセスを許可します。

ユーザーが IdP で正常に認証されると、GitHub Enterprise Serverインスタンスに対するユーザの SAML セッションはブラウザで 24 時間アクティブになります。 24 時間後、ユーザは IdP で再度認証を行う必要があります。

If you remove a user from your IdP, you must also manually suspend them. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. 詳しい情報についてはユーザのサスペンドとサスペンドの解除を参照してください。

サポートされているアイデンティティプロバイダ

GitHub Enterprise Server は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。詳しい情報については、OASIS Web サイトの SAML Wiki を参照してください。

GitHub officially supports and internally tests the following IdPs.

Active Directory フェデレーションサービス (AD FS)
Azure Active Directory (Azure AD)
Okta
OneLogin
PingOne
Shibboleth

SAML SSO の設定

You can enable or disable SAML authentication for GitHub Enterprise Serverインスタンス, or you can edit an existing configuration. You can view and edit authentication settings for GitHub Enterprise Server in the management console. For more information, see "Accessing the management console."

注釈: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for GitHub Enterprise Serverインスタンス. 詳しい情報については "ステージングインスタンスのセットアップ"を参照してください。

From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .
If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.
左のサイドバーでManagement Consoleをクリックしてください。
左のサイドバーでAuthentication（認証）をクリックしてください。
SAMLを選択してください。
Optionally, to allow people without an account on your external authentication system to sign in with built-in authentication, select Allow built-in authentication. For more information, see "Allowing built-in authentication for users outside your provider."
オプションで、未承諾応答SSOを有効化する場合は [IdP initiated SSO] を選択します。デフォルトでは、GitHub Enterprise Serverは未承認アイデンティティプロバイダ (IdP) 起点のリクエストに対して、IdPへのAuthnRequest返信で応答します。

ノート：この値は選択しないでおくことをおすすめします。この機能を有効にするのは、SAMLの実装がサービスプロバイダ起点のSSOをサポートしないまれな場合と、GitHub Enterprise Supportによって推奨された場合だけにすべきです。
GitHub Enterprise Serverインスタンス上のユーザの管理者権限を SAML プロバイダに決めさせたくない場合、[Disable administrator demotion/promotion] を選択します。
Optionally, to allow GitHub Enterprise Serverインスタンス to receive encrypted assertions from your SAML IdP, select Require encrypted assertions. You must ensure that your IdP supports encrypted assertions and that the encryption and key transport methods in the management console match the values configured on your IdP. You must also provide GitHub Enterprise Serverインスタンス's public certificate to your IdP. For more information, see "Enabling encrypted assertions."
Single sign-on URL（シングルサインオンURL）フィールドに、使用するIdpのシングルサインオンのリクエストのためのHTTPあるいはHTTPSエンドポイントを入力してください。この値はIdpの設定によって決まります。ホストが内部のネットワークからしか利用できない場合、GitHub Enterprise Serverインスタンスを内部ネームサーバーを利用するように設定する必要があるかもしれません。
または、[Issuer] フィールドに、SAML の発行者の名前を入力します。これは、GitHub Enterprise Serverインスタンスへ送信されるメッセージの真正性を検証します。
[Signature Method] および [Digest Method] ドロップダウンメニューで、SAML の発行者が GitHub Enterprise Serverインスタンスからのリクエストの整合性の検証に使うハッシュアルゴリズムを選択します。 Name Identifier Format（Name Identifier形式）ドロップダウンメニューから形式を指定してください。
[Verification certificate] の下で、[Choose File] をクリックし、IdP からの SAML のレスポンスを検証するための証明書を選択してください。
必要に応じてSAMLの属性名はIdPに合わせて修正してください。あるいはデフォルト名をそのまま受け付けてください。