Enterprise 向けの SAML シングルサインオンを設定する

SAML SSO について

SAML SSO を使用すると、SAML IdP から your enterprise へのアクセスを一元的に制御しアクセスをセキュアにできます。 認証されていないユーザがブラウザで your enterprise にアクセスすると、GitHub AE はユーザを認証するために SAML IdP にリダイレクトします。 ユーザが IdP のアカウントで正常に認証されると、IdP はユーザを your enterprise にリダイレクトします。 GitHub AE は、IdP からのレスポンスを検証してから、ユーザにアクセスを許可します。

ユーザーが IdP で正常に認証されると、your enterprise に対するユーザの SAML セッションはブラウザで 24 時間アクティブになります。 24 時間後、ユーザは IdP で再度認証を行う必要があります。

To make a person an enterprise owner, you must delegate ownership permission in your IdP. Include the administrator attribute in the SAML assertion for the user account on the IdP, with the value of true. For more information about enterprise owners, see "Roles in an enterprise."

By default, your IdP does not communicate with GitHub AE automatically when you assign or unassign the application. GitHub AE creates a user account using SAML Just-in-Time (JIT) provisioning the first time someone navigates to GitHub AE and signs in by authenticating through your IdP. You may need to manually notify users when you grant access to GitHub AE, and you must manually deactivate the user account on GitHub AE during offboarding. You can use SCIM to provision and deprovision user accounts and access for GitHub AE automatically when you assign or unassign the application on your IdP.詳しい情報については、「Enterprise 向けのユーザプロビジョニングを設定する」を参照してください。

サポートされているアイデンティティプロバイダ

GitHub AE は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳しい情報については、OASIS Web サイトの SAML Wiki を参照してください。

GitHub は、次の IdP を使用して GitHub AE の SAML SSO をテストしました。

• Azure AD

SAML SSO を有効化する

You'll configure identity and access management for GitHub AE by entering the details for your SAML IdP during initialization. For more information, see "Initializing GitHub AE."

次の IdP は、GitHub AE の SAML SSO の設定に関するドキュメントを提供しています。 IdP がリストにない場合は、IdP に問い合わせて、GitHub AE のサポートをご依頼ください。

GitHub AE の初期化中に、IdP で GitHub AE を SAML サービスプロバイダ (SP) として設定する必要があります。 GitHub AE を有効な SP として設定するには、IdP にいくつかの一意の値を入力する必要があります。

SAML SSO 設定を編集する

IdP の詳細が変更された場合は、your enterprise の SAML SSO 設定を編集する必要があります。 たとえば、IdP の証明書の有効期限が切れそうな場合、公開証明書の値を編集できます。

1. In the top-right corner of GitHub AE, click your profile photo, then click Enterprise settings.

   

2. Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。

   

3. 左のサイドバーでSecurity（セキュリティ）をクリックしてください。

   

4. [SAML single sign-on] で、IdP の新しい詳細を入力します。

   

5. 必要に応じて、 をクリックして、新しい署名またはダイジェスト方式を設定します。

   
   • ドロップダウンメニューを使用して、新しい署名またはダイジェスト方法を選択します。
     

6. [Test SAML configuration] をクリックして、入力した情報が正しいことを確認します。

   

7. [Save] をクリックします。

   

8. 必要に応じて、your enterprise のユーザアカウントを自動的にプロビジョニングおよびプロビジョニング解除するには、SCIM を使用してユーザプロビジョニングを再設定します。 詳しい情報については、「Enterprise 向けのユーザプロビジョニングを設定する」を参照してください。

SAML SSO を無効化する

1. In the top-right corner of GitHub AE, click your profile photo, then click Enterprise settings.

   

2. Enterpriseアカウントのサイドバーで、 Settings（設定）をクリックしてください。

   

3. 左のサイドバーでSecurity（セキュリティ）をクリックしてください。

   

4. [SAML single sign-on] の下で [Enable SAML authentication] を選択解除します。

   

5. SAML SSO を無効にし、初期化中に作成した組み込みユーザアカウントでサインインする必要がある場合は、[Save] をクリックします。