Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
現在、GitHub AE は限定的リリースです。

Okta を使用するエンタープライズ用の認証とプロビジョニングの構成

Okta を ID プロバイダー (IdP) として使用して、your enterpriseの認証とユーザー プロビジョニングを一元管理できます。

この機能を使用できるユーザー

Enterprise owners can configure authentication and provisioning for GitHub AE.

注: Okta に対する GitHub AE シングル サインオン (SSO) のサポートは、現在ベータ版です。

Okta を使用した認証とユーザー プロビジョニングについて

GitHub AE の ID プロバイダー (IdP) として Okta を使用できます。これにより、Okta ユーザーは Okta 資格情報を使用して GitHub AE にサインインできます。

GitHub AE の IdP として Okta を使用するために、Okta に GitHub AE アプリを追加し、GitHub AE で Okta を IdP として構成し、Okta ユーザーとグループのアクセス権をプロビジョニングできます。

GitHub AE で IAM に IdP を使う場合、リポジトリ、issue、pull request などの Enterprise リソースへのアクセスは、SAML SSO によって制御やセキュリティ保護が行われます。 IdP に変更を加えると、ユーザー アカウントの作成と your enterprise へのアクセスの管理は SCIM によって自動的に行われます。 また、GitHub AE 上の team を IdP 上のグループと同期することもできます。 詳細については、次の記事を参照してください。

SCIM を有効にすると、Okta で GitHub AE アプリケーションを割り当てる任意のユーザーが次のプロビジョニング機能を使えるようになります。

次のプロビジョニング機能は、GitHub AE アプリケーションに割り当てられたすべての Okta ユーザーが使用できます。

機能説明
新しいユーザのプッシュOkta で新しいユーザーを作成すると、ユーザーは GitHub AE に追加されます。
ユーザ無効化のプッシュOkta でユーザーを非アクティブにすると、GitHub AE で Enterprise からユーザーが停止されます。
プロフィール更新のプッシュOkta でユーザーのプロファイルを更新すると、GitHub AE で Enterprise 内のユーザーのメンバーシップのメタデータが更新されます。
ユーザの再アクティブ化Okta でユーザーを再アクティブ化すると、GitHub AE で Enterprise 内のユーザーの停止が解除されます。

your enterprise での Enterprise の ID とアクセスの管理について詳しくは、「Enterprise の ID とアクセスを管理する」をご覧ください。

前提条件

  • Okta を使用して GitHub AE の認証とユーザー プロビジョニングを設定するには、Okta アカウントとテナントが必要です。

  • IdP で専用のマシン ユーザー アカウントを作成して使用し、GitHub AE 上の最初の Enterprise 所有者アカウントに関連付ける必要があります。 このユーザアカウントの認証情報は、パスワードマネージャに安全に保存してください。 詳しくは、「Enterprise 用の SCIM を使用したユーザーのプロビジョニングを構成する」を参照してください。

Okta で GitHub AE アプリケーションを追加する

  1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

    "アプリケーション" メニューのナビゲーション 1. [アプリ カタログの参照] をクリックします。

    [アプリ カタログの参照]

  2. 検索フィールドに「GitHub AE」と入力し、その結果で [GitHub AE] をクリックします。

    "検索結果"

  3. [追加] をクリックします。

    "GitHub AE アプリを追加する"

  4. [ベース URL] には、GitHub AE 上の Enterprise の URL を入力します。

    "ベース URL を構成する"

  5. [Done] をクリックします。

GitHub AE に対する SAML SSO の有効化

GitHub AE に対してシングル サインオン (SSO) を有効にするには、Okta によって提供されるサインオン URL、発行者 URL、パブリック証明書を使用するように GitHub AE を設定する必要があります。 これらの詳細については、GitHub AE の Okta アプリで確認できます。

  1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

    "アプリケーション" メニューのナビゲーション 1. GitHub AE アプリをクリックします。 1. アプリケーションの名前の下にある [サインオン] をクリックします。

    [サインオン] タブ 1. [サインオン方法] で [セットアップ手順の表示] をクリックします。

    [サインオン] タブ

  2. [サインオン URL]、[発行者]、[公開証明書] の詳細を書き留めます。

  3. この詳細を使用して、GitHub AE で Enterprise に対して SAML SSO を有効にします。 詳細については、「エンタープライズ向けの SAML シングル サインオンの構成」を参照してください。

注: GitHub AE から SAML 構成をテストするには、Okta ユーザー アカウントを GitHub AE アプリに割り当てる必要があります。

API 統合の有効化

Okta アプリでは、SCIM プロビジョニングに GitHub AE の REST API を使用します。 GitHub AE の personal access token を使用して Okta を設定することで、API へのアクセスを有効にしてテストできます。

  1. GitHub AE では、admin:enterprise スコープを持つ personal access token を生成します。 詳しい情報については、「personal access tokenの作成」を参照してください。

  2. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

    "アプリケーション" メニューのナビゲーション 1. GitHub AE アプリをクリックします。 1. [プロビジョニング] をクリックします。

    アプリの構成

  3. [API 統合の構成] をクリックします。

  4. [Enable API integration](API 統合を有効にする) を選択します。

    [API 統合を有効にする]

  5. [API トークン] に、前に生成した GitHub AE personal access token を入力します。

  6. [Test API Credentials](API 資格情報のテスト) をクリックします。

注: Error authenticating: No results for users returned が表示される場合は、GitHub AE に対して SSO を有効にしていることを確認します。 詳しい情報については、「GitHub AE に対する SAML SSO の有効化」を参照してください。

SCIM プロビジョニング設定の構成

この手順では、Okta プロビジョニング用に SCIM 設定を構成する方法を示します。 これらの設定では、Okta ユーザー アカウントを GitHub AE に自動的にプロビジョニングするときに使用される機能を定義します。

  1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

    "アプリケーション" メニューのナビゲーション 1. GitHub AE アプリをクリックします。 1. [プロビジョニング] をクリックします。

    アプリの構成

  2. [設定] で、 [アプリへ] をクリックします。

    [アプリへ] 設定

  3. [アプリへのプロビジョニング] の右側にある [編集] をクリックします。

  4. [ユーザーの作成] の右側にある [有効にする] を選択します。

  5. [ユーザー属性の更新] の右側にある [有効] を選択します。

  6. [ユーザーの非アクティブ化] の右側にある [有効] を選択します。

  7. [保存] をクリックします。

Okta ユーザーとグループが GitHub AE にアクセスできるようにする

個々の Okta ユーザー、またはグループ全体に対して、GitHub AE へのアクセスをプロビジョニングできます。

Okta ユーザーのアクセスのプロビジョニング

Okta ユーザーが自分の資格情報を使用して GitHub AE にサインインできるようにするには、ユーザーを GitHub AE の Okta アプリに割り当てる必要があります。

  1. Okta ダッシュボードで [アプリケーション] メニューを展開し、続いて [アプリケーション] をクリックします。

    "アプリケーション" メニューのナビゲーション 1. GitHub AE アプリをクリックします。

  2. [割り当て] をクリックします。

    [Assignments] タブ

  3. [割り当て] ドロップダウン メニューを選択し、 [ユーザーに割り当てる] をクリックします。

    [ユーザーに割り当てる] ボタン

  4. 必要なユーザー アカウントの右側にある [割り当て] をクリックします。

    ユーザーの一覧

  5. [ロール] の右側で、ユーザーのロールをクリックし、 [保存して戻る] をクリックします。

    ロールの選択

  6. [Done] をクリックします。

Okta グループのアクセスのプロビジョニング

Okta グループを GitHub AE の Team にマップできます。 その後、Okta グループのメンバーは、マップされた GitHub AE の Team のメンバーになります。 詳細については、Okta グループのチームへのマッピングに関する記事を参照してください。

参考資料