ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。
GitHub AEは、現在限定リリース中です。詳細については営業チームにお問い合わせください。

Enterprise 向けの SAML シングルサインオンを設定する

Enterprise の SAML シングルサインオン (SSO) を設定できます。これにより、アイデンティティプロバイダ (IdP) を使用して Enterprise の認証を一元的に制御できます。

Enterprise owners can configure SAML SSO for an enterprise on GitHub AE.

SAMLシングルサインオンは、GitHub Enterprise Cloud及びGitHub AEで利用できます。 詳しい情報については「GitHubの製品」を参照してください。

SAML SSO について

SAML SSO を使用すると、SAML IdP から Enterprise へのアクセスを一元的に制御しアクセスをセキュアにできます。 認証されていないユーザがブラウザで Enterprise にアクセスすると、GitHub AE はユーザを認証するために SAML IdP にリダイレクトします。 ユーザが IdP のアカウントで正常に認証されると、IdP はユーザを Enterprise にリダイレクトします。 GitHub AE は、IdP からのレスポンスを検証してから、ユーザにアクセスを許可します。

ユーザーが IdP で正常に認証されると、Enterprise に対するユーザの SAML セッションはブラウザで 24 時間アクティブになります。 24 時間後、ユーザは IdP で再度認証を行う必要があります。

人をEnterpriseのオーナーにするには、所有権をIdPで委任しなければなりません。 IdP上のユーザアカウントに対して、SAMLアサーションのadministrator属性を、値をtrueにして含めてください。 Enterpriseのオーナーに関する詳しい情報については「Enterprise内のロール」を参照してください。

デフォルトでは、アプリケーションを割り当てあるいは割り当て解除したときに、IdPはGitHub AEと自動的に通信はしません。 GitHub AEは、誰かが初めてIdPを通じて認証を受けてGitHub AEにアクセスし、サインインした時に、SAML Just-in-Time (JIT)プロビジョニングを使用して ユーザアカウントを作成します。 GitHub AEへのアクセスを許可した際には、ユーザに手動で通知する必要があるかもしれません。そしてオフボーディングの間には、手動でGitHub AE上のユーザアカウントの無効化をしなければなりません。 IdP上でアプリケーションを割り当てもしくは割り当て解除する際には、SCIMを使って自動的にGitHub AEのユーザアカウントとアクセスをプロビジョニング及びプロビジョニング解除できます。詳しい情報については、「Enterprise 向けのユーザプロビジョニングを設定する」を参照してください。

サポートされているアイデンティティプロバイダ

GitHub AE は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳しい情報については、OASIS Web サイトの SAML Wiki を参照してください。

GitHub は、次の IdP を使用して GitHub AE の SAML SSO をテストしました。

  • Azure AD

SAML SSO を有効化する

初期化の間にSAML IdPの詳細を入力することによって、GitHub AEのアイデンティティとアクセスの管理を設定することになります。 詳しい情報については「GitHub AEの初期化」を参照してください。

次の IdP は、GitHub AE の SAML SSO の設定に関するドキュメントを提供しています。 IdP がリストにない場合は、IdP に問い合わせて、GitHub AE のサポートをご依頼ください。

IdP詳細情報
Azure ADMicrosoft Docs の「チュートリアル: Azure Active Directory シングルサインオン (SSO) と GitHub AE の統合

GitHub AE の初期化中に、IdP で GitHub AE を SAML サービスプロバイダ (SP) として設定する必要があります。 GitHub AE を有効な SP として設定するには、IdP にいくつかの一意の値を入力する必要があります。

別名説明サンプル
SP エンティティ IDSP URLGitHub AE の最上位にある URLhttps://YOUR-GITHUB-AE-HOSTNAME
SP アサーションコンシューマーサービス (ACS) URL返信 URLIdP が SAML レスポンスを送信する URLhttps://YOUR-GITHUB-AE-HOSTNAME/saml/consume
SP シングルサインオン (SSO) URLIdP が SSO を開始する URLhttps://YOUR-GITHUB-AE-HOSTNAME/sso

SAML SSO 設定を編集する

IdP の詳細が変更された場合は、Enterprise の SAML SSO 設定を編集する必要があります。 たとえば、IdP の証明書の有効期限が切れそうな場合、公開証明書の値を編集できます。

注釈: GitHub AEがSAML IdPと通信できないためにEnterpriseにサインインできない場合は、SAML SSOの設定を更新するためのGitHub AEへのアクセスを支援してくれるGitHub Supportに連絡してください。 詳しい情報については、「GitHub Support からの支援を受ける」を参照してください。

  1. GitHub AEの右上で、プロフィール写真をクリックし、続いてEnterprise settings(Enterpriseの設定)をクリックしてください。 GitHub AEのプロフィール写真のドロップダウンメニュー内の"Enterprise settings"

  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。 Enterpriseアカウントサイドバー内の設定タブ

  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。 Security tab in the enterprise account settings sidebar

  4. [SAML single sign-on] で、IdP の新しい詳細を入力します。 Enterprise の SAML SSO 設定の IdP 詳細を含むテキスト入力フィールド

  5. 必要に応じて、 をクリックして、新しい署名またはダイジェスト方式を設定します。 署名とダイジェスト方法を変更するための編集アイコン

    • ドロップダウンメニューを使用して、新しい署名またはダイジェスト方法を選択します。 新しい署名またはダイジェスト方法を選択するためのドロップダウンメニュー
  6. [Test SAML configuration] をクリックして、入力した情報が正しいことを確認します。 [Test SAML configuration] ボタン

  7. [Save] をクリックします。 SAML SSO 設定の [Save] ボタン

  8. 必要に応じて、Enterprise のユーザアカウントを自動的にプロビジョニングおよびプロビジョニング解除するには、SCIM を使用してユーザプロビジョニングを再設定します。 詳しい情報については、「Enterprise 向けのユーザプロビジョニングを設定する」を参照してください。

SAML SSO を無効化する

Warning: Enterprise の SAML SSO を無効にすると、既存の SAML SSO セッションのないユーザは Enterprise にサインインできなくなります。 Enterprise での SAML SSO セッションは、24 時間後に終了します。

注釈: GitHub AEがSAML IdPと通信できないためにEnterpriseにサインインできない場合は、SAML SSOの設定を更新するためのGitHub AEへのアクセスを支援してくれるGitHub Supportに連絡してください。 詳しい情報については、「GitHub Support からの支援を受ける」を参照してください。

  1. GitHub AEの右上で、プロフィール写真をクリックし、続いてEnterprise settings(Enterpriseの設定)をクリックしてください。 GitHub AEのプロフィール写真のドロップダウンメニュー内の"Enterprise settings"

  2. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。 Enterpriseアカウントサイドバー内の設定タブ

  3. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。 Security tab in the enterprise account settings sidebar

  4. [SAML single sign-on] の下で [Enable SAML authentication] を選択解除します。 [Enable SAML authentication] チェックボックス

  5. SAML SSO を無効にし、初期化中に作成した組み込みユーザアカウントでサインインする必要がある場合は、[Save] をクリックします。 SAML SSO 設定の [Save] ボタン

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡