認証方式の変更
GitHub Enterprise Server が既存のアカウントを認証する方法は、いつでも変更できます。
GitHub Enterprise Server インスタンスのユーザアカウントは、認証方式を変更しても保存され、ユーザはユーザ名が変更されない限り、同じアカウントにログインし続けることができます。
新しい認証方式でユーザ名が変更される場合、新しいアカウントが作成されます。 管理者はサイト管理設定あるいはユーザ管理 API を通じてユーザの名前を変更できます。
他に考慮しなければならない問題には以下があります。
-
パスワード:インスタンスでビルトイン認証を使うように切り替えた場合、変更の完了後にユーザはパスワードを設定しなければなりません。
-
サイト管理者: 管理者権限は、SAML を使う場合はアイデンティティプロバイダによって制御され、LDAP を使う場合はグループのメンバーシップによって制御されます。
-
Team メンバーシップ: LDAP のみが、ディレクトリサーバからのTeam メンバーシップの制御が可能です。
-
ユーザの一時停止: 認証に LDAP を使う場合、GitHub Enterprise Server へのアクセスは制限グループ経由で制御できます。 LDAPに切り替えた後、制限グループが設定されているなら、既存のユーザでこれらのグループのいずれかに属してないユーザは一時停止されます。 一時停止は、ユーザがログインするか、次のLDAP Syncの間に生じます。
-
グループのメンバーシップ:認証にLDAPを使う場合、ユーザは自動的に制限グループのメンバーシップとActive Directoryのアカウントのステータスに基づいてサスペンドあるいはサスペンド解除されます。
-
Git認証:SAML及びCASは、個人アクセストークンを使ったHTTPあるいはHTTPS経由でのGIt認証のみをサポートしています。 HTTPあるいはHTTPS経由でのパスワード認証はサポートされていません。 LDAPは、パスワードベースのGit認証をデフォルトでサポートしていますが、その方法は無効化して個人アクセストークンあるいはSSHキーでの認証を強制することをおすすめします。
-
API認証:SAML及びCASは、個人アクセストークンを使ったAPI認証のみをサポートしています。 Basic認証はサポートされていません。
-
2 要素認証: SAML あるいは CAS を利用する場合、2要素認証は GitHub Enterprise Server アプライアンス上ではサポートあるいは管理されませんが、外部の認証プロバイダによってサポートされることはあります。Organization での 2 要素認証の強制はできません。Organization での 2 要素認証の強制に関する詳しい情報については、「Organization で 2 要素認証を要求する」を参照してください。
-
使用しているアイデンティティプロバイダ外のユーザのためのビルトイン認証:使用中のアイデンティティプロバイダに追加することなく、ユーザをGitHub Enterprise Server インスタンスで認証するよう招待できます。 詳細は「使用中のアイデンティティプロバイダ外のユーザのためにビルトイン認証を許可する」を参照してください。