エンタープライズの SAML SSO について
Enterprise メンバーが GitHub.com 上で自分のユーザー アカウントを管理する場合、エンタープライズまたは Organization の追加のアクセス制限として SAML 認証を構成することができます。 SAML シングル サインオン (SSO) により、GitHub Enterprise Cloud を使用する組織の所有者とエンタープライズの所有者は、リポジトリ、issue、pull request などの組織のリソースへのアクセス権を制御し、セキュリティで保護することができます。
SAML SSO を構成する場合、組織のメンバーは引き続き GitHub.com で個人アカウントにサインインします。 組織内のほとんどのリソースは、メンバーがアクセスすると、GitHub によってメンバーは IdP にリダイレクトされ、認証を受けます。 認証に成功すると、IdP はメンバーを GitHub にリダイレクトして戻します。 詳しくは、「SAMLのシングルサインオンでの認証について」を参照してください。
Note
SAML SSO は、GitHub の通常のサインイン プロセスに代わるものではありません。 Enterprise Managed Users を使用する場合を除き、メンバーは GitHub.com で引き続き個人アカウントにサインインし、各個人アカウントは IdP で外部 ID にリンクされます。
Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 Enterprise アカウントに対して SAML SSO を有効にすると、その Enterprise アカウントによって所有されているすべての組織に対して SAML SSO が有効になります。 すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。詳しくは、「ID とアクセス管理について」と「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。
または、Enterprise Managed Users を使用して Enterprise メンバーのアカウントをプロビジョニングおよび管理することができます。 SAML SSO または Enterprise Managed Users がご自分の Enterprise にとって適切かどうかの判断については、「GitHub Enterprise Cloud の Enterprise の種類の選択」をご覧ください。
SAML 構成エラーまたは ID プロバイダー (IdP) の問題によって SAML SSO を使用できない場合は、復旧コードを使用してエンタープライズにアクセスできます。詳しくは、「Enterprise のリカバリ コードの管理」をご覧ください。
SAML SSO を有効にした後、使用する IdP によっては、追加のアイデンティおよびアクセス管理機能を有効にできる場合があります。
Note
ユーザーのアカウントが Enterprise Managed Users 用に作成されたものでない場合、ユーザーは Enterprise アカウント用に SCIM を構成できません。 詳しくは、「Enterprise Managed Users について」を参照してください。
Enterprise Managed Users を使っていなくて、SCIM プロビジョニングを使いたい場合は、エンタープライズ レベルではなく、組織レベルで SAML SSO を構成する必要があります。 詳しくは、「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」を参照してください。
IdP として Microsoft Entra ID (旧称 Azure AD) を使用すると、チーム同期を使用して、各組織内のチーム メンバーシップを管理できます。 Organization または Enterprise アカウントで Team の同期が有効になっている場合は、GitHub Team を IdP グループと同期できます。 GitHub Team を IdP グループと同期すると、IdP グループへの変更が GitHub Enterprise Cloud に自動的に反映され、必要な手動更新やカスタム スクリプトを減らすことができます。詳しくは、「Enterprise で Organization の Team 同期を管理する」をご覧ください。
エンタープライズ アカウントが所有する組織のいずれかが SAML SSO を使用するように既に構成されている場合、エンタープライズ アカウントに対して SAML SSO を有効にするときに特別な考慮事項があります。詳しくは、「組織からエンタープライズ アカウントへの SAML 構成の切り替え」をご覧ください。
GitHub Enterprise Cloud での SAML SSO の構成について詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。
サポートされている IdP
以下の IdP はテスト済みで公式にサポートされています。 SAML SSO の場合、SAML 2.0 標準を実装するすべてのアイデンティティプロバイダに対して限定的なサポートが提供されています。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。
IdP | SAML | Team の同期 |
---|---|---|
Active Directory フェデレーション サービス (AD FS) | ||
Entra ID | ||
Okta | ||
OneLogin | ||
PingOne | ||
Shibboleth |
参考資料
- Enterprise IAM での SAML の使用
- OASIS の Web サイトの SAML Wiki
- IETF の Web サイトの「クロスドメイン ID 管理システム: プロトコル (RFC 7644)」