お使いの GitHub Enterprise Server インスタンスの SAML SSO について
SAML SSO を使用すると、ユーザーは ID 管理のために外部システムを介して お使いの GitHub Enterprise Server インスタンス に認証およびアクセスすることができます。
SAML は、認証と認可のための XML ベースの標準です。 お使いの GitHub Enterprise Server インスタンス の SAML を構成する場合、認証用の外部システムは ID プロバイダー (IdP) と呼ばれます。 インスタンスは SAML サービス プロバイダー (SP) として機能します。 SAML 標準の詳細については、Wikipedia の「Security Assertion Markup Language」を参照してください。
注: SAML または LDAP のどちらか一方だけを使用でき、両方は使用できません。
SAML あるいは CAS を使う場合、GitHub Enterprise Server インスタンスで 2 要素認証はサポートあるいは管理されませんが、外部の認証プロバイダがサポートしている可能性があります。 Organizationでの2要素認証の強制はできません。 組織での 2 要素認証の適用については、「Organization で 2 要素認証を要求する」を参照してください。
SAML を構成すると、お使いの GitHub Enterprise Server インスタンス を使うユーザーは、personal access token を使って、API 要求を認証する必要があります。 詳しくは、「個人用アクセス トークンを管理する」を参照してください。
外部認証プロバイダーのアカウントを持たない一部のユーザーに対して認証を許可する場合は、お使いの GitHub Enterprise Server インスタンス でローカル アカウントへのフォールバック認証を許可できます。 詳しくは、「使用しているプロバイダーの外部ユーザーのためのビルトイン認証の許可」を参照してください。
GitHub Enterprise Server で SAML SSO を構成する方法に関する詳細については、「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。
サポートされている IdP
GitHub Enterprise Server は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。
GitHub は、次の IdP を正式にサポートし、内部的にテストします。
- Active Directory フェデレーション サービス (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
IdP で暗号化されたアサーションがサポートされている場合は、認証プロセス中にセキュリティを強化するために、GitHub Enterprise Server で暗号化されたアサーションを構成できます。
GitHub Enterprise ServerはSAMLシングルログアウトをサポートしていません。 アクティブなSAMLセッションを終了させるには、ユーザーは直接SAML IdPでログアウトしなければなりません。
参考資料
- OASIS Web サイトの SAML Wiki