ID とアクセス管理について

Administrators for GitHub Enterprise Cloud must decide how users will access the enterprise's resources on GitHub.com.

この記事の内容

GitHub Enterprise Cloud の IAM について

企業のリソースへのアクセスを管理するには、ユーザーがGitHub.comで個人用アカウントを使用できるようにし、必要に応じて追加の SAML アクセス制限を構成するか、Enterprise Managed Usersと一緒に ID プロバイダー(IdP)を使用して企業のアカウントをプロビジョニングと管理することができます。

これらのオプションの詳細を学んだ後、どの方法が Enterprise に最適かを判断するには、「GitHub Enterprise Cloud の Enterprise の種類の選択」を参照してください。

認証方法

GitHub Enterprise Cloud でエンタープライズを作成する場合、ユーザーが GitHub.com のリソースにアクセスするための認証方法と、ユーザー アカウントを制御するユーザーを決定できます。

GitHub.com による認証

GitHub.com のみを使用した認証では、Enterprise へのアクセス権を付与する各ユーザーは、GitHub.com の個人用アカウントを作成して管理する必要があります。 エンタープライズへのアクセス権を付与すると、メンバーは GitHub.com のアカウントにサインインした後、エンタープライズのリソースにアクセスできます。 メンバーはアカウントを管理し、GitHub.com の他の Enterprise、Organization、リポジトリに投稿できます。 個人アカウントについて詳しくは、「GitHub でのアカウントの作成」をご覧ください。

追加の SAML アクセス制限を使用した GitHub.com による認証

追加の SAML アクセス制限を構成する場合は、エンタープライズへのアクセスを許可される各ユーザーは、GitHub.com で個人アカウントを作成して管理する必要があります。 エンタープライズへのアクセス権を付与すると、メンバーは GitHub.com のアカウントと SAML ID プロバイダー (IdP) のアカウントの両方で認証に成功した場合にのみ、エンタープライズ リソースにアクセスできます。 メンバーは個人アカウントを使用して、GitHub.com の他の Enterprise、Organization、リポジトリに投稿できます。 エンタープライズリソースへのすべてのアクセスに SAML 認証を要求する方法について詳しくは、「エンタープライズ IAM の SAML について」をご覧ください。

Enterprise レベルで SAML を構成するか (Enterprise 内のすべての Organization に同じ SAML 構成を適用)、それとも個々の Organization に対して SAML を個別に構成するかを選ぶことができます。 詳しくは、「エンタープライズと組織のどちらに SAML を構成するかを決定する」を参照してください。

Enterprise Managed Users とフェデレーションを使用した認証

GitHub.com の Enterprise メンバーのアカウントをより細かく制御する必要がある場合は、Enterprise Managed Users を使用できます。 Enterprise Managed Users では、IdP を使用し、GitHub.com の Enterprise メンバーのアカウントをプロビジョニングして管理します。 作成されたアカウントに各メンバーがサインインすると、Enterprise でそのアカウントが管理されます。 GitHub.com の残りの部分への投稿は制限されています。 詳しくは、「Enterprise Managed Users について」を参照してください。

プロビジョニングについて

SAML アクセス制限を追加して GitHub.com 経由の認証を使用する場合、ユーザーは GitHub.com で個人用アカウントを作成し、それらの個人用アカウントにエンタープライズリソースへのアクセス権を付与できます。 アカウントはプロビジョニングしません。

または、Enterprise Managed Users を使用する場合は、クロスドメイン ID 管理システム (SCIM) を使用して、GitHub.com でエンタープライズのユーザー アカウントをプロビジョニングするように IdP を構成する必要があります。 詳しくは、「エンタープライズ マネージド ユーザーのユーザー アカウント プロビジョニング」を参照してください。

サポートされている IdP について

GitHub.comで個人用アカウントを使用する Enterprise を作成する場合、SAML 2.0 規格に準拠する外部 ID 管理システムで追加の認証を構成できます。 GitHubは、一部の ID 管理システムも正式にサポートしてテストします。 詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。

GitHub は、ID 管理システムの一部の開発者と提携し、Enterprise Managed Users との "paved-path" 統合を提供します。 構成を簡略化して完全なサポートを確保するため、GitHubは認証とプロビジョニングの両方に 1 つのパートナー IdP を使用することをお勧めします。パートナー ID プロバイダー(IdP)を使用する場合、IdP に 1 つのアプリケーションを構成して認証とプロビジョニングを提供できます。 IdP は SAML 2.0 規格をサポートする必要があります。 または、Entra ID(旧称 Azure AD)を使用する場合、OpenID Connect(OIDC)認証を構成できます。 パートナー IdP を使用しない場合、または認証にパートナー IdP のみ使用する場合は、SAML 2.0 と System for Cross-domain Identity Management (SCIM) 2.0 標準を実装する IdP を統合できます。 詳しくは、「Enterprise Managed Users について」を参照してください。

参考資料