Okta での SAML と SCIM について
Organization がアイデンティティプロバイダ (IdP) である Okta を使う SAML SSO と SCIM を使用するように設定すれば、GitHub Organization や他の Web アプリケーションへのアクセスを、1 つの集中インターフェースから制御することができます。
SAML SSO は、リポジトリや Issue、プルリクエストといった Organization のリソースに対するアクセスを制御し、保護します。 SCIM は、Okta で変更を行ったとき、GitHub の Organization に対するメンバーのアクセスを自動的に追加、管理、削除します。 詳しい情報については、「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」と「SCIM について」を参照してください。
SCIM を有効にすると、Okta で GitHub Enterprise Cloud アプリケーションを割り当てる任意のユーザが次のプロビジョニング機能を使えるようになります。
機能 | 説明 |
---|---|
新しいユーザのプッシュ | Okta でユーザを作成すると、GitHub Organization に参加するためのメールがユーザに届きます。 |
ユーザ無効化のプッシュ | Okta でユーザを無効化すると、そのユーザは GitHub Organization から削除されます。 |
プロフィール更新のプッシュ | Okta でユーザのプロフィールを更新すると、そのユーザの GitHub の Organization でのメンバーシップに関するメタデータが更新されます。 |
ユーザの再アクティブ化 | Okta でユーザを再アクティブ化すると、GitHub の Organization に復帰するための招待メールがそのユーザに届きます。 |
必要な環境
You must use the "Classic UI" in Okta. 詳しい情報については、Okta のブログで「Organized Navigation」を参照してください。
Okta で GitHub Enterprise Cloud アプリケーションを追加する
-
Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
-
[Add application] をクリックします。
-
検索フィールドに "GitHub Enterprise Cloud" と入力します。
-
[Github Enterprise Cloud - Organization] の右で [Add] をクリックします。
-
[GitHub Organization] フィールドに、GitHub の Organization 名を入力します。 たとえば、Organization の URL が https://github.com/octo-org の場合、Organization 名は
octo-org
となります。 -
[Done] をクリックします。
SAML SSO の有効化とテスト
- Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
- アプリケーションのリストで、GitHub Enterprise Cloudを使うOrganizationのために作成したアプリケーションのラベルをクリックしてください。
- Assign the application to your user in Okta. For more information, see Assign applications to users in the Okta documentation.
- Under the name of the application, click Sign on.
- [SIGN ON METHODS] で、[View Setup Instructions] をクリックします。
- SAML 2.0 の設定方法に関するガイドから、サインオン URL、発行者 URL、公開の証明書を使用して、GitHub での SAML SSO を有効化してテストします。 詳しい情報については、「Organization での SAML シングルサインオンの有効化とテスト」を参照してください。
Okta で SCIM を使ってアクセスのプロビジョニングを設定する
-
Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
-
アプリケーションのリストで、GitHub Enterprise Cloudを使うOrganizationのために作成したアプリケーションのラベルをクリックしてください。
-
Under the name of the application, click Provisioning.
-
[Configure API Integration] をクリックします。
-
[Enable API integration] を選択します。
-
[Authenticate with Github Enterprise Cloud - Organization] をクリックします。
-
Organization 名の右にある [Grant] をクリックします。
注釈: リストに自分の Organization が表示されていない場合は、ブラウザで
https://github.com/orgs/ORGANIZATION-NAME/sso
を開き、IdP での管理者アカウントを使用して SAML SSO 経由で Organization に認証してもらいます。 たとえば、Organization 名がocto-org
の場合、URL はhttps://github.com/orgs/octo-org/sso
となります。 詳しい情報については「SAML シングルサインオンでの認証について」を参照してください。 -
[Authorize OktaOAN] をクリックします。
-
[Save] をクリックします。
-
[Provisioning to App] の右にある [Edit] をクリックします。
-
[Create Users] の右にある [Enable] を選択します。
-
[Update User Attributes] の右にある [Enable] を選択します。
-
[Deactivate Users] の右にある [Enable] を選択します。
-
[Save] をクリックします。
参考リンク
- Okta を使用して Enterprise アカウントの SAML シングルサインオンおよび SCIM を設定する
- Organization の Team 同期を管理する
- Okta ドキュメントの「Understanding SAML」
- Okta ドキュメントの「Understanding SCIM」