Skip to main content

Enterprise 向けの SAML シングルサインオンを設定する

ID プロバイダー (IdP) を介した SAML シングル サインオン (SSO) を構成して、GitHub AE のエンタープライズへのアクセスを制御し、セキュリティで保護できます。

Who can use this feature

Enterprise owners can configure SAML SSO for an enterprise on GitHub AE.

SAML SSO について

SAML SSO を使用すると、SAML IdP から your enterprise へのアクセスを一元的に制御しアクセスをセキュアにできます。 認証されていないユーザがブラウザで your enterprise にアクセスすると、GitHub AE はユーザを認証するために SAML IdP にリダイレクトします。 ユーザが IdP のアカウントで正常に認証されると、IdP はユーザを your enterprise にリダイレクトします。 GitHub AE は、IdP からのレスポンスを検証してから、ユーザにアクセスを許可します。

ユーザーが IdP で正常に認証されると、your enterprise に対するユーザの SAML セッションはブラウザで 24 時間アクティブになります。 24 時間後、ユーザは IdP で再度認証を行う必要があります。

人をEnterpriseのオーナーにするには、所有権をIdPで委任しなければなりません。 IdP のユーザー アカウントに対して、SAML アサーションの administrator 属性を、値を true にして含めます。 Enterprise 所有者の詳細については、「Enterprise におけるロール」を参照してください。

By default, your IdP does not communicate with GitHub AE automatically when you assign or unassign the application. GitHub AE creates a user account using SAML Just-in-Time (JIT) provisioning the first time someone navigates to GitHub AE and signs in by authenticating through your IdP. You may need to manually notify users when you grant access to GitHub AE, and you must manually deactivate the user account on GitHub AE during offboarding. You can use SCIM to create or suspend user accounts and access for GitHub AE automatically when you assign or unassign the application on your IdP. 詳細については、「エンタープライズ向けのユーザー プロビジョニングの構成」を参照してください。

サポートされているアイデンティティプロバイダ

GitHub AE は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳細については、OASIS の Web サイトの SAML Wiki を参照してください。

GitHub は、次の IdP を正式にサポートし、内部的にテストします。

  • Azure Active Directory (Azure AD)
  • Okta (ベータ)

SAML SSO を有効化する

初期化の間にSAML IdPの詳細を入力することによって、GitHub AEのアイデンティティとアクセスの管理を設定することになります。 詳細については、「GitHub AE の初期化」を参照してください。

次の IdP は、GitHub AE の SAML SSO の設定に関するドキュメントを提供しています。 IdP がリストにない場合は、IdP に問い合わせて、GitHub AE のサポートをご依頼ください。

IdP詳細情報
Azure ADAzure AD を使用して Enterprise の認証とプロビジョニングを設定する
OktaOkta を使用する Enterprise 用の認証とプロビジョニングの構成

GitHub AE の初期化中に、IdP で GitHub AE を SAML サービス プロバイダー (SP) として設定する必要があります。 GitHub AE を有効な SP として設定するには、IdP にいくつかの一意の値を入力する必要があります。 詳細については、「SAML 構成リファレンス」をご覧ください。

SAML SSO 設定を編集する

IdP の詳細が変更された場合は、your enterprise の SAML SSO 設定を編集する必要があります。 たとえば、IdP の証明書の有効期限が切れそうな場合、公開証明書の値を編集できます。

: If you can't sign into your enterprise because GitHub AE can't communicate with your SAML IdP, you can contact GitHub Support, who can help you access GitHub AE to update the SAML SSO configuration. For more information, see "Receiving help from GitHub Support."

  1. GitHub AE の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 GitHub AE のプロファイル写真のドロップダウン メニューの [自分の Enterprise] 1. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  3. [SAML single sign-on] で、IdP の新しい詳細を入力します。 Enterprise の SAML SSO 設定の IdP 詳細を含むテキスト入力フィールド

  4. 必要に応じて、 をクリックして、新しい署名またはダイジェスト方式を設定します。 署名とダイジェスト方法を変更するための編集アイコン

    • ドロップダウンメニューを使用して、新しい署名またはダイジェスト方法を選択します。 新しい署名またはダイジェスト方法を選択するためのドロップダウン メニュー
  5. 入力した情報が正しいことを確認するには、 [SAML 構成のテスト] をクリックします。 [SAML 構成のテスト] ボタン

  6. [保存] をクリックします。 SAML SSO 設定の [保存] ボタン

  7. 必要に応じて、your enterprise のユーザアカウントを自動的にプロビジョニングおよびプロビジョニング解除するには、SCIM を使用してユーザプロビジョニングを再設定します。 詳細については、「エンタープライズ向けのユーザー プロビジョニングの構成」を参照してください。

SAML SSO を無効化する

警告: your enterprise の SAML SSO を無効にすると、既存の SAML SSO セッションのないユーザは your enterprise にサインインできなくなります。 your enterprise での SAML SSO セッションは、24 時間後に終了します。

: If you can't sign into your enterprise because GitHub AE can't communicate with your SAML IdP, you can contact GitHub Support, who can help you access GitHub AE to update the SAML SSO configuration. For more information, see "Receiving help from GitHub Support."

  1. GitHub AE の右上で、ご自分のプロファイル写真をクリックしてから、 [Enterprise 設定] をクリックします。 GitHub AE のプロファイル写真のドロップダウン メニューの [自分の Enterprise] 1. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ
  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar
  3. [SAML シングル サインオン] の [SAML 認証を有効にする] を選択解除します。 [SAML 認証を有効にする] のチェックボックス
  4. SAML SSO を無効にし、初期化中に作成した組み込みユーザアカウントでサインインする必要がある場合は、 [保存] をクリックします。 SAML SSO 設定の [保存] ボタン