ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

SAML シングルサインオンを使うアイデンティティおよびアクセス管理について

ユーザのアイデンティティとアプリケーションをアイデンティティプロバイダ (IdP) で集中管理する場合、Security Assertion Markup Language (SAML) シングルサインオン (SSO) を設定して GitHub での Organization のリソースを保護することができます。

SAMLシングルサインオンはGitHub Enterprise Cloudで利用できます。 詳しい情報については「GitHubの製品」を参照してください。

ここには以下の内容があります:

SAML SSO について

SAML SSOは、GitHub上のOrganizationのオーナー及びEnterpriseのオーナーに対し、リポジトリ、Issue、プルリクエストのようなOrganizationのリソースに対するアクセスをコントロールし、セキュアに保つ方法を提供します。

SAML SSO を設定すると、GitHub Organization のメンバーは GitHub 上の各自のユーザアカウントに引き続きログインできるようになります。 SAML SSO を使用する Organization 内のリソースにメンバーがアクセスすると、GitHub は認証のためにメンバーを IdP にリダイレクトします。 認証に成功すると、IdP はメンバーを GitHub にリダイレクトして戻し、そこでメンバーは Organization のリソースにアクセスできます。

Enterprise のオーナーは、Enterprise アカウントのすべての Organization について SAML SSO を施行できます。 詳細は「Enterprise アカウントでセキュリティ設定を強制する」を参照してください。

Note: 外部のコラボレータは、SAML SSOを使っているOrganization内のリソースにアクセスするために、IdPでの認証を受ける必要はありません。 外部コラボレーターに関する詳しい情報については「Organization の権限レベル」を参照してください。

Organization で SAML SSO を有効化する前に、IdP を Organization に接続する必要があります。 詳細は「アイデンティティプロバイダを Organization に接続する」を参照してください。

1 つの Organization に対して、SAML SSO は無効化、強制なしの有効化、強制ありの有効化ができます。 Organization に対して SAML SSO を有効にし、Organization のメンバーが IdP での認証に成功した後、SAML SSO 設定を強制できます。 GitHub Organization に対して SAML SSO を強制する方法については、「Organization で SAML シングルサインオンを施行する」を参照してください。

認証を受けて Organization のリソースにアクセスするために、メンバーは定期的に IdP の認証を受ける必要があります。 このログイン間隔は利用しているアイデンティティプロバイダ (IdP) によって指定されますが、一般的には 24 時間です。 このように定期的にログインしなければならないことから、アクセスの長さには制限があり、ユーザがアクセスを続行するには再認証が必要になります。

コマンドラインで API と Git を使用して、Organization の保護されているリソースにアクセスするには、メンバーが個人アクセストークンまたは SSH キーで認可および認証を受ける必要があります。 詳しい情報については、「SAMLシングルサインオンで利用するために個人アクセストークンを認可する」と、「SAML シングルサインオンで使用するために SSH キーを認可する」を参照してください。

メンバーが初めて SAML SSO を使用して Organization にアクセスする場合は、Organization にリンクするレコード、メンバーの GitHub アカウント、およびメンバーの IdP 上のアカウントを GitHub が自動的に作成します。 Organization または Enterprise アカウントのメンバーについて、リンクされた SAML アイデンティティ、アクティブセッション、認可されたクレデンシャルの表示と取り消しが可能です。 詳細は、「Organization へのメンバーの SAML アクセスの表示と管理」と「Enterprise アカウントへのユーザの SAML アクセスの表示および管理」を参照してください。

If members are signed in with a SAML SSO session when they create a new repository, the default visibility of that repository is private. Otherwise, the default visibility is public. リポジトリの可視性に関する詳しい情報については、「リポジトリの可視性について」を参照してください。

OAuthアプリケーションを認可するために、Organization メンバーにはアクティブな SAML セッションが必要です。 GitHub Supportまたは GitHub Premium Support に連絡すれば、この要件をオプトアウトできます。 ただし、この要件をオプトアウトすることを GitHub はお勧めしません。Organization でアカウント乗っ取りやデータ漏えいのリスクが高くなるからです。

サポートされているSAMLサービス

SAML 2.0標準を実装するすべてのアイデンティティプロバイダには、限定的なサポートを提供します。 内部的にテストを行った以下のアイデンティティプロバイダは公式にサポートされます。

  • Active Directory フェデレーションサービス (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

一部の IdPs は、SCIM を介した GitHub Organization へのプロビジョニングアクセスをサポートしています。 詳しい情報については「SCIMについて」を参照してください。

SAML SSO で Organization にメンバーを追加する

SAML SSO を有効化後、Organization に新しいメンバーを追加する方法はいくつかあります。 Organization のオーナーは、GitHub で手作業または API を使って、新しいメンバーを招待できます。 For more information, see "Inviting users to join your organization" and "Members."

Teamの同期を使い、アイデンティティプロバイダを通じてOrganizationのメンバーの追加や削除を自動的に行えます。 詳しい情報については「アイデンティティプロバイダグループとTeamの同期」を参照してください。

新しいユーザを、Organization のオーナーから招待せずにプロビジョニングするには、https://github.com/orgs/ORGANIZATION/sso/sign_up の URL の ORGANIZATION をあなたの Organization 名に置き換えてアクセスします。 たとえば、あなたの IdP にアクセスできる人なら誰でも、IdP のダッシュボードにあるリンクをクリックして、あなたの GitHub Organization に参加できるよう、IdP を設定できます。

IdP が SCIM をサポートしている場合、GitHub は、IdP でアクセス権限が付与されたとき Organization に参加するよう自動的にメンバーを招待できます。 SAML IdP での メンバーの GitHub Organization へのアクセス権限を削除すると、そのメンバーは GitHub Organization から自動的に削除されます。 詳しい情報については「SCIMについて」を参照してください。

GitHubはSAMLシングルログアウトをサポートしていません。 アクティブなSAMLセッションを終了させるには、ユーザーは直接SAML IdPでログアウトしなければなりません。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください