Okta での SAML と SCIM について
Organization がアイデンティティプロバイダ (IdP) である Okta を使う SAML SSO と SCIM を使用するように設定すれば、GitHub Organization や他の Web アプリケーションへのアクセスを、1 つの集中インターフェースから制御することができます。
SAML SSO は、リポジトリや Issue、プルリクエストといった Organization のリソースに対するアクセスを制御し、保護します。 SCIM は、Okta で変更を行ったとき、GitHub の Organization に対するメンバーのアクセスを自動的に追加、管理、削除します。 詳しい情報については、「SAML シングルサインオンを使うアイデンティティおよびアクセス管理について」と「SCIM について」を参照してください。
SCIM を有効にすると、Okta で GitHub Enterprise Cloud アプリケーションを割り当てる任意のユーザが次のプロビジョニング機能を使えるようになります。
| 機能 | 説明 |
|---|---|
| 新しいユーザのプッシュ | Okta でユーザを作成すると、GitHub Organization に参加するためのメールがユーザに届きます。 |
| ユーザ無効化のプッシュ | Okta でユーザを無効化すると、そのユーザは GitHub Organization から削除されます。 |
| プロフィール更新のプッシュ | Okta でユーザのプロフィールを更新すると、そのユーザの GitHub の Organization でのメンバーシップに関するメタデータが更新されます。 |
| ユーザの再アクティブ化 | Okta でユーザを再アクティブ化すると、GitHub の Organization に復帰するための招待メールがそのユーザに届きます。 |
必要な環境
SCIM を有効化するには、"クラシック UI" を使用する必要があります。 詳しい情報については、Okta のブログで「Organized Navigation」を参照してください。
![ダッシュボードの上にある Okta の UI 選択機能で [Classic UI] を選択](/assets/images/help/saml/okta-classic-ui.png)
Okta で GitHub Enterprise Cloud アプリケーションを追加する
-
Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
-
[Add application] をクリックします。
![Okta ダッシュボードの [Applications] タブにある [Add application] ボタン](/assets/images/help/saml/okta-add-application.png)
-
検索フィールドに "GitHub Enterprise Cloud" と入力します。
![Okta の [Search for an application] フィールド](/assets/images/help/saml/okta-search-for-an-application.png)
-
[Github Enterprise Cloud - Organization] の右で [Add] をクリックします。
![GitHub Enterprise Cloud アプリケーションの [Add] をクリック](/assets/images/help/saml/okta-add-ghec-application.png)
-
[GitHub Organization] フィールドに、GitHub の Organization 名を入力します。 たとえば、Organization の URL が https://github.com/octo-org の場合、Organization 名は
octo-orgとなります。
-
[Done] をクリックします。
SAML SSO の有効化とテスト
-
Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
-
アプリケーションのリストで、GitHub Enterprise Cloudを使うOrganizationのために作成したアプリケーションのラベルをクリックしてください。
-
Okta でユーザに GitHub Enterprise Cloud アプリケーションを割り当てます。 詳しい情報については、Okta のドキュメントで「Assign and unassign apps to users」を参照してください。
-
[Sign on] をクリックします。
![Okta アプリケーションの [Sign on] タブ](/assets/images/help/saml/okta-sign-on-tab.png)
-
[SIGN ON METHODS] で、[View Setup Instructions] をクリックします。
![Okta アプリケーションの [Sign On] タブにある [View Setup Instructions] ボタン](/assets/images/help/saml/okta-view-setup-instructions.png)
-
SAML 2.0 の設定方法に関するガイドから、サインオン URL、発行者 URL、公開の証明書を使用して、GitHub での SAML SSO を有効化してテストします。 詳しい情報については、「Organization での SAML シングルサインオンの有効化とテスト」を参照してください。
Okta で SCIM を使ってアクセスのプロビジョニングを設定する
-
Oktaのダッシュボードで、Applications(アプリケーション)をクリックしてください。
-
アプリケーションのリストで、GitHub Enterprise Cloudを使うOrganizationのために作成したアプリケーションのラベルをクリックしてください。
-
[Provisioning] をクリックします。
![Okta アプリケーションの [Provisioning] タブ](/assets/images/help/saml/okta-provisioning-tab.png)
-
[Configure API Integration] をクリックします。
![Okta アプリケーションの [Configure API Integration] ボタン](/assets/images/help/saml/okta-configure-api-integration.png)
-
[Enable API integration] を選択します。
![Okta アプリケーションの [Enable API integration] チェックボックス](/assets/images/help/saml/okta-enable-api-integration.png)
-
[Authenticate with Github Enterprise Cloud - Organization] をクリックします。
![Okta アプリケーションの [Authenticate with Github Enterprise Cloud - Organization] ボタン](/assets/images/help/saml/okta-authenticate-with-ghec-organization.png)
-
Organization 名の右にある [Grant] をクリックします。
![Organization にアクセスできるよう Okta SCIM インテグレーションを認証する [Grant] ボタン](/assets/images/help/saml/okta-scim-integration-grant-organization-access.png)
注釈: リストに自分の Organization が表示されていない場合は、ブラウザで
https://github.com/orgs/ORGANIZATION-NAME/ssoを開き、IdP での管理者アカウントを使用して SAML SSO 経由で Organization に認証してもらいます。 たとえば、Organization 名がocto-orgの場合、URL はhttps://github.com/orgs/octo-org/ssoとなります。 詳しい情報については「SAML シングルサインオンでの認証について」を参照してください。 -
[Authorize OktaOAN] をクリックします。
![Organization にアクセスできるよう Okta SCIM インテグレーションを認証する [Authorize OktaOAN] ボタン](/assets/images/help/saml/okta-scim-integration-authorize-oktaoan.png)
-
Saveをクリックします。
![Okta アプリケーションのプロビジョニング設定に使用する [Save] ボタン](/assets/images/help/saml/okta-provisioning-tab-save.png)
-
[Provisioning to App] の右にある [Edit] をクリックします。
![Okta アプリケーションのプロビジョニングオプションに使用する [Edit] ボタン](/assets/images/help/saml/okta-provisioning-to-app-edit-button.png)
-
[Create Users] の右にある [Enable] を選択します。
![Okta アプリケーションの [Create Users] オプションの [Enable] チェックボックス](/assets/images/help/saml/okta-provisioning-enable-create-users.png)
-
[Update User Attributes] の右にある [Enable] を選択します。
![Okta アプリケーションの [Update User Attributes] オプションの [Enable] チェックボックス](/assets/images/help/saml/okta-provisioning-enable-update-user-attributes.png)
-
[Deactivate Users] の右にある [Enable] を選択します。
![Okta アプリケーションの [Deactivate Users] オプションの [Enable] チェックボックス](/assets/images/help/saml/okta-provisioning-enable-deactivate-users.png)
-
Saveをクリックします。
![Okta アプリケーションのプロビジョニング設定に使用する [Save] ボタン](/assets/images/help/saml/okta-provisioning-save.png)
参考リンク
- Organization の Team 同期を管理する
- Okta ドキュメントの「Understanding SAML」
- Okta ドキュメントの「Understanding SCIM」