ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

Okta を使用して Enterprise アカウントの SAML シングルサインオンおよび SCIM を設定する

Okta を使う Security Assertion Markup Language (SAML) シングルサインオン (SSO) および System for Cross-domain Identity Management (SCIM) を使用すると、 GitHub で Enterprise アカウントへのアクセスを自動的に管理することができます。

Enterpriseアカウントは、GitHub Enterprise Cloud及びGitHub Enterprise Serverで利用できます。 For more information, see "About enterprise accounts."

ここには以下の内容があります:

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.

ノート: Enterproseアカウントのユーザプロビジョニングは現在プライベートベータであり、変更されることがあります。 ベータへのアクセスをリクエストするには、営業チームにお問い合わせください。

Okta での SAML と SCIM について

Enterprise アカウントがアイデンティティプロバイダ (IdP) である Okta を使う SAML SSO と SCIM を使用するように設定すれば、GitHub の Enterprise アカウントや 他の Web アプリケーションへのアクセスを 1 つの集中インターフェースから制御することができます。

SAML SSO は、リポジトリや Issue、プルリクエストといった Enterprise アカウントのリソースに対するアクセスを制御し、保護します。 SCIM は、Okta で変更を行ったとき、Enterprise アカウントによって所有されている Organization に対するメンバーのアクセスを自動的に追加、管理、削除します。 詳細は、「Enterprise アカウントでセキュリティ設定を強制する」を参照してください。

SCIM を有効にすると、Okta で GitHub Enterprise Cloud アプリケーションを割り当てる任意のユーザが次のプロビジョニング機能を使えるようになります。

機能説明
新しいユーザのプッシュOkta で作成される新しいユーザは Enterprise アカウントのリソースにアクセスでき、Enterprise アカウントによって所有されている Organization にオプションで自動的に招待されます。
ユーザ無効化のプッシュOkta のユーザを無効にすると、そのユーザは Enterprise アカウントのリソースにアクセスできなくなり、Enterprise アカウントで所有されているすべての Organization から削除されます。
プロフィール更新のプッシュOkta のユーザのプロファイルに対する更新が、そのユーザの Enterprise アカウントのメタデータにプッシュされます。
ユーザの再アクティブ化Okta のユーザを再アクティブ化すると、そのユーザの Enterprise アカウントに対するアクセスが再度有効になり、オプションでそのユーザが以前メンバーだった Enterprise アカウントによって所有されている Organization に再度参加するための 招待メールがオプションで送信されます。

必要な環境

You must use the "Classic UI" in Okta. 詳しい情報については、Okta のブログで「Organized Navigation」を参照してください。

ダッシュボードの上にある Okta の UI 選択機能で [Classic UI] を選択

Okta で GitHub Enterprise Cloud アプリケーションを追加する

  1. In Okta, in the upper-right corner, click Admin.
    Admin button in Okta
  2. Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
    Oktaダッシュボードのナビゲーションバーの"アプリケーション"アイテム
  3. [Add application] をクリックします。
    Okta ダッシュボードの [Applications] タブにある [Add application] ボタン
  4. 検索フィールドに "GitHub Enterprise Cloud" と入力します。
    Okta の [Search for an application] フィールド
  5. [GitHub Enterprise Cloud - Enterprise Accounts] をクリックします。
  6. [Add] をクリックします。
  7. オプションで、[Application label] の右にアプリケーションのわかりやすい名前を入力します。
    [Application label] フィールド
  8. [GitHub Enterprises] の右に、Enterprise アカウントの名前を入力します。 たとえば、Enterprise アカウントの URL が https://github.com/enterprises/octo-corp の場合は、octo-corp と入力します。
    [GitHub Enterprises] フィールド
  9. [Done] をクリックします。

SAML SSO の有効化とテスト

  1. In Okta, in the upper-right corner, click Admin.
    Admin button in Okta
  2. Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
    Oktaダッシュボードのナビゲーションバーの"アプリケーション"アイテム
  3. Click the label for the application you created for your enterprise account.
  4. Assign the application to your user in Okta. For more information, see Assign applications to users in the Okta documentation.
  5. Under the name of the application, click Sign on.
    Okta アプリケーションの [Sign on] タブ
  6. [Settings] の右にある [Edit] をクリックします。
  7. [Configured SAML Attributes] で、[groups] の右にあるドロップダウンメニューを使用して [Matches regex] を選択します。
  8. ドロップダウンメニューの右に .*.* と入力します。
  9. [Save] をクリックします。
  10. [SIGN ON METHODS] で、[View Setup Instructions] をクリックします。
    Okta アプリケーションの [Sign On] タブにある [View Setup Instructions] ボタン
  11. 設定手順の情報を使用して、Enterprise アカウントの SAML を有効にします。 詳細は「Enterprise アカウントでセキュリティ設定を強制する」を参照してください。

Okta でグループを作成する

  1. Okta で、Enterprise アカウントが所有する各 Organization に合わせてグループを作成します。 各グループの名前は、Organization のアカウント名 (Organization の表示名ではく) に一致する必要があります。 たとえば、Organization の URL が https://github.com/octo-org の場合は、グループに octo-org という名前をつけます。
  2. Enterprise アカウントに作成したアプリケーションを各グループに割り当てます。 GitHub が、ユーザごとに groups データをすべて受け取ります。
  3. ユーザを所属させたい Organization に基づいて、ユーザをグループに追加します。

Okta で SCIM を使ってユーザのプロビジョニングを設定する

If you're participating in the private beta for user provisioning for enterprise accounts, when you enable SAML for your enterprise account, SCIM provisioning and deprovisioning is enabled by default in GitHub. You can use provisioning to manage organization membership by configuring SCIM in your IdP.

Okta で SCIM を使ってユーザのプロビジョニングを設定するには、OAuth アプリケーションを認可して、Okta が GitHub への認証に使用するトークンを作成する必要があります。 Okta と GitHub が連携して、okta-oauth アプリケーションが作成されます。

  1. In Okta, in the upper-right corner, click Admin.
    Admin button in Okta
  2. Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
    Oktaダッシュボードのナビゲーションバーの"アプリケーション"アイテム
  3. Click the label for the application you created for your enterprise account.
  4. Under the name of the application, click Provisioning.
    Okta アプリケーションの [Provisioning] タブ
  5. [Configure API Integration] をクリックします。
    Okta アプリケーションの [Configure API Integration] ボタン
  6. [Enable API integration] を選択します。
    Okta アプリケーションの [Enable API integration] チェックボックス
  7. [Authenticate with Github Enterprise Cloud - Enterprise Accounts] をクリックします。
    GitHub に認証するボタン
  8. Enterprise アカウント名の右にある [Grant] をクリックします。
  9. [Authorize okta-oauth] をクリックします。
  10. [Save] をクリックします。
    Okta アプリケーションのプロビジョニング設定に使用する [Save] ボタン
  11. [Provisioning to App] の右にある [Edit] をクリックします。
    Okta アプリケーションのプロビジョニングオプションに使用する [Edit] ボタン
  12. [Create Users] の右にある [Enable] を選択します。
    Okta アプリケーションの [Create Users] オプションの [Enable] チェックボックス
  13. [Update User Attributes] の右にある [Enable] を選択します。
    Okta アプリケーションの [Update User Attributes] オプションの [Enable] チェックボックス
  14. [Deactivate Users] の右にある [Enable] を選択します。
    Okta アプリケーションの [Deactivate Users] オプションの [Enable] チェックボックス
  15. [Save] をクリックします。
    Okta アプリケーションのプロビジョニング設定に使用する [Save] ボタン
  16. アプリケーション名の下で [ Push Groups] をクリックします。
    [Push Groups] タブ
  17. [Push Groups] ドロップダウンメニューを使用して、[Find groups by name] を選択します。
    [Push Groups] ドロップダウンメニュー
  18. ユーザプロビジョニングを有効にしたい Enterprise アカウントで各 Organization のプッシュグループを追加します。
    • [PUSH GROUPS BY NAME] で、Enterprise アカウントが所有する Organization に対応するグループを検索し、見つかったグループを検索結果でクリックします。
    • グループ名の右にある [Match results & push action] ドロップダウンメニューで、[Create Group] が選択されていることを確認します。
      [Match result] ドロップダウンメニューで [Create Group] を選択
    • [Save] をクリックします。
    • Organization ごとに繰り返します。
  19. アプリケーション名の下で [ Assignments] をクリックします。
    [Assignments] タブ
  20. [Provision users] と表示される場合は、グループのプッシュグループを追加する前に Okta グループのメンバーだったユーザは、プロビジョニングされていません。 そのようなユーザの GitHub に SCIM を送信するには、[Provision users] をクリックします。

SAML ユーザプロビジョニングを有効にする

SCIM のプロビジョニングとプロビジョニング解除を有効にすると、オプションで SAML のユーザプロビジョニングおよびプロビジョニング解除を有効にできます。

  1. In the top-right corner of GitHub, click your profile photo, then click Your enterprises.

    "Your enterprises" in drop-down menu for profile photo on GitHub

  2. In the list of enterprises, click the enterprise you want to view.

    Name of an enterprise in list of your enterprises

  1. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。
    Enterpriseアカウントサイドバー内の設定タブ
  2. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。
    Enterpriseアカウント設定サイドバー内のセキュリティタブ
  3. [SAML User Provisioning] で、[Enable SAML user provisioning] を選択します。
    SAML によるユーザプロビジョニングを有効にするチェックボックス
  4. [Save] をクリックします。
  5. オプションで、SAML ユーザプロビジョニングを有効にします。
    • [Enable SAML user deprovisioning] を選択して [Save] をクリックします。
      SAML によるユーザプロビジョニング解除を有効にするチェックボックス
    • 警告を読んでから、[Enable SAML deprovisioning] をクリックします。
      [Enable SAML deprovisioning] ボタン

Did this doc help you?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

OR, learn how to contribute.