Okta を使用するエンタープライズ用の認証とプロビジョニングの構成

Okta を使用した認証とユーザー プロビジョニングについて

GitHub AE の ID プロバイダー (IdP) として Okta を使用できます。これにより、Okta ユーザーは Okta 資格情報を使用して GitHub AE にサインインできます。

GitHub AE の IdP として Okta を使用するために、Okta に GitHub AE アプリを追加し、GitHub AE で Okta を IdP として構成し、Okta ユーザーとグループのアクセス権をプロビジョニングできます。

GitHub AE で IAM に IdP を使う場合、リポジトリ、issue、pull request などの Enterprise リソースへのアクセスは、SAML SSO によって制御やセキュリティ保護が行われます。 IdP に変更を加えると、ユーザー アカウントの作成と ご自分のエンタープライズ へのアクセスの管理は SCIM によって自動的に行われます。 また、GitHub AE 上の team を IdP 上のグループと同期することもできます。 詳細については、次の記事を参照してください。

• 「エンタープライズ IAM の SAML について」
• Enterprise 用の SCIM を使用したユーザーのプロビジョニングを構成する
• 「Team をアイデンティティプロバイダグループと同期する」
• チームへの Okta グループのマッピング

SCIM を有効にすると、Okta で GitHub AE アプリケーションを割り当てる任意のユーザーが次のプロビジョニング機能を使えるようになります。

次のプロビジョニング機能は、GitHub AE アプリケーションに割り当てられたすべての Okta ユーザーが使用できます。

機能	説明
新しいユーザのプッシュ	Okta で新しいユーザーを作成すると、ユーザーは GitHub AE に追加されます。
ユーザ無効化のプッシュ	Okta でユーザーを非アクティブにすると、GitHub AE で Enterprise からユーザーが停止されます。
プロフィール更新のプッシュ	Okta でユーザーのプロファイルを更新すると、GitHub AE で Enterprise 内のユーザーのメンバーシップのメタデータが更新されます。
ユーザの再アクティブ化	Okta でユーザーを再アクティブ化すると、GitHub AE で Enterprise 内のユーザーの停止が解除されます。

ご自分のエンタープライズ でのエンタープライズの ID およびアクセス管理について詳しくは、「Enterprise IAM での SAML の使用」をご覧ください。

前提条件

• Okta を使用して GitHub AE の認証とユーザー プロビジョニングを設定するには、Okta アカウントとテナントが必要です。

• IdP で専用のマシン ユーザー アカウントを作成して使用し、GitHub AE 上の最初の Enterprise 所有者アカウントに関連付ける必要があります。 このユーザアカウントの認証情報は、パスワードマネージャに安全に保存してください。 詳しくは、「Enterprise 用の SCIM を使用したユーザーのプロビジョニングを構成する」を参照してください。

Okta で GitHub AE アプリケーションを追加する

1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。
2. [アプリ カタログの参照] をクリックします。
3. 検索フィールドに「GitHub AE」と入力し、その結果で [GitHub AE] をクリックします。
4. [追加] をクリックします。
5. [ベース URL] には、GitHub AE 上の Enterprise の URL を入力します。
6. [Done] をクリックします。

GitHub AE に対する SAML SSO の有効化

GitHub AE に対してシングル サインオン (SSO) を有効にするには、Okta によって提供されるサインオン URL、発行者 URL、パブリック証明書を使用するように GitHub AE を設定する必要があります。 これらの詳細については、GitHub AE の Okta アプリで確認できます。

1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

2. GitHub AE アプリをクリックします。

3. アプリケーションの名前の下にある [サインオン] をクリックします。

4. [サインオン方法] で [セットアップ手順の表示] をクリックします。

5. [サインオン URL]、[発行者]、[公開証明書] の詳細を書き留めます。

6. この詳細を使用して、GitHub AE で Enterprise に対して SAML SSO を有効にします。 詳しくは、「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。

API 統合の有効化

Okta アプリでは、SCIM プロビジョニングに GitHub AE の REST API を使用します。 GitHub AE の personal access token を使用して Okta を設定することで、API へのアクセスを有効にしてテストできます。

1. GitHub AE では、admin:enterprise スコープを持つ personal access token を生成します。 詳細については、「個人用アクセス トークンを管理する」を参照してください。

2. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

3. GitHub AE アプリをクリックします。

4. [プロビジョニング] をクリックします。

5. [API 統合の構成] をクリックします。

6. [Enable API integration](API 統合を有効にする) を選択します。

7. [API トークン] に、前に生成した GitHub AE personal access token を入力します。

8. [Test API Credentials](API 資格情報のテスト) をクリックします。

SCIM プロビジョニング設定の構成

この手順では、Okta プロビジョニング用に SCIM 設定を構成する方法を示します。 これらの設定では、Okta ユーザー アカウントを GitHub AE に自動的にプロビジョニングするときに使用される機能を定義します。

1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。
2. GitHub AE アプリをクリックします。
3. [プロビジョニング] をクリックします。
4. [設定] で、 [アプリへ] をクリックします。
5. [アプリへのプロビジョニング] の右側にある [編集] をクリックします。
6. [ユーザーの作成] の右側にある [有効にする] を選択します。
7. [ユーザー属性の更新] の右側にある [有効] を選択します。
8. [ユーザーの非アクティブ化] の右側にある [有効] を選択します。
9. [保存] をクリックします。

Okta ユーザーとグループが GitHub AE にアクセスできるようにする

個々の Okta ユーザー、またはグループ全体に対して、GitHub AE へのアクセスをプロビジョニングできます。

Okta ユーザーのアクセスのプロビジョニング

Okta ユーザーが自分の資格情報を使用して GitHub AE にサインインできるようにするには、ユーザーを GitHub AE の Okta アプリに割り当てる必要があります。

1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

2. GitHub AE アプリをクリックします。

3. [割り当て] をクリックします。

4. [割り当て] ドロップダウン メニューを選び、 [ユーザーに割り当てる] をクリックします。

5. 必要なユーザー アカウントの右側にある [割り当て] をクリックします。

6. [ロール] の右側で、ドロップダウン メニューを選び、ユーザーのロールをクリックします。

7. [保存して戻る] をクリックします。

8. [Done] をクリックします。

Okta グループのアクセスのプロビジョニング

Okta グループを GitHub AE の Team にマップできます。 その後、Okta グループのメンバーは、マップされた GitHub AE の Team のメンバーになります。 詳しくは、「チームへの Okta グループのマッピング」を参照してください。

参考資料

• Okta ドキュメントの「Understanding SAML」 (SAML について)。
• Okta ドキュメントの「Understanding SCIM」 (SCIM について)。