Skip to main content

Enterprise Managed Users용 OIDC 구성

OpenID Connect(OIDC) 싱글 사인온(SSO)을 구성하고 IdP의 조건부 액세스 정책(CAP)에 대한 지원을 사용 설정하여 GitHub에서 엔터프라이즈 계정에 대한 액세스를 자동으로 관리하는 방법을 알아봅니다.

누가 이 기능을 사용할 수 있나요?

Enterprise Managed Users은(는) GitHub Enterprise Cloud에서 새 엔터프라이즈 계정에서 사용할 수 있습니다. "Enterprise Managed Users 정보" 항목을 참조하세요.

Note

Enterprise Managed Users에 대한 OIDC(OpenID Connect) 및 CAP(조건부 액세스 정책) 지원은 Microsoft Entra ID(이전의 Azure AD)만 사용할 수 있습니다.

Enterprise Managed Users용 OIDC 정보

Enterprise Managed Users를 사용하면 엔터프라이즈가 IdP(ID 공급자)를 사용하여 모든 구성원을 인증합니다. OIDC(OpenID Connect)를 사용하여 관리형 사용자가 있는 엔터프라이즈에 대한 인증을 관리할 수 있습니다. OIDC SSO를 사용하도록 설정하는 것은 GitHub 및 IdP에서 관리하는 인증서를 사용하는 원클릭 설정 프로세스입니다.

엔터프라이즈에서 OIDC SSO를 사용하는 경우, GitHub는 ID 공급자의 CAP(조건부 액세스 정책) IP 조건을 자동으로 사용하여 구성원이 웹 UI를 사용하거나 또는 IP 주소를 변경할 때, 사용자 계정과 관련한 personal access token 또는 SSH 키를 사용한 각 인증에 대하여 GitHub와의 상호 작용의 유효성을 검사합니다. "IdP의 조건부 액세스 정책에 대한 지원 정보" 항목을 참조하세요.

Note

웹 세션에 대한 CAP 보호는 현재 공개 미리 보기 상태이며 변경될 수 있습니다.

2024년 11월 5일 이후에 ID 공급자 CAP 지원을 사용하도록 설정하는 새 엔터프라이즈는 기본적으로 웹 세션 보호가 활성화됩니다.

이미 ID 공급자 CAP 지원을 사용하도록 설정한 기존 엔터프라이즈는 엔터프라이즈의 "인증 보안" 설정에서 웹 세션에 대한 확장된 보호를 옵트인할 수 있습니다.

IdP에서 GitHub에 대해 발급된 ID 토큰의 수명 정책 속성을 변경하여 세션의 수명 및 관리형 사용자 계정를 다시 인증해야 하는 빈도를 조정할 수 있습니다. 기본 수명은 1시간입니다. Microsoft 설명서에서 "토큰 수명 정책 구성"을 참조하세요.

수명 정책 속성을 변경하려면 Enterprise Managed Users OIDC와 연결된 개체 ID가 필요합니다. "Entra OIDC 애플리케이션의 개체 ID 찾기" 항목을 참조하세요.

Note

OIDC 세션 수명을 구성하는 데 도움이 필요한 경우 Microsoft 지원에 문의하세요.

인증에 SAML SSO를 사용 중인 상태에서 OIDC를 사용하고 CAP 지원을 활용하려는 경우 마이그레이션 경로를 따를 수 있습니다. 자세한 내용은 "SAML에서 OIDC로 마이그레이션"을(를) 참조하세요.

경고: GitHub Enterprise Importer을(를) 사용하여 GitHub Enterprise Server 인스턴스에서 조직을 마이그레이션하는 경우 Entra ID CAP에서 제외된 서비스 계정을 사용해야 합니다. 그러지 않으면 마이그레이션이 차단될 수 있습니다.

ID 공급자 지원

Entra ID를 사용하는 고객에게는 OIDC 지원이 제공됩니다.

각 Entra ID 테넌트는 하나의 OIDC와 Enterprise Managed Users 간 통합만 지원할 수 있습니다. GitHub에서 둘 이상의 엔터프라이즈에 Entra ID를 연결하려면 SAML을 대신 사용합니다. "Enterprise Managed Users에 대한 SAML Single Sign-On 구성" 항목을 참조하세요.

OIDC는 IdP 시작 인증을 지원하지 않습니다.

Enterprise Managed Users용 OIDC 구성

  1. @SHORT-CODE_admin 사용자 이름을 사용하여 새 엔터프라이즈의 설정 사용자로 GitHub에 로그인합니다.

  2. In the top-right corner of GitHub, click your profile photo, then click Your enterprise.

  3. 페이지 왼쪽의 엔터프라이즈 계정 사이드바에서 설정을 클릭합니다.

  4. 설정 아래에서, 인증 보안을 클릭합니다.

  5. "OpenID Connect Single Sign-On"에서 OIDC Single Sign-On 필요를 선택합니다.

  6. 설정을 계속하고 Entra ID 리디렉션하려면 저장을 클릭합니다.

  7. GitHub Enterprise Cloud가 리디렉션하면 IdP에 로그인한 후, 지침에 따라 동의하고 GitHub Enterprise Managed User (OIDC) 애플리케이션을 설치합니다. Entra ID가 OIDC를 사용하여 GitHub Enterprise Managed Users에 대한 권한을 요청한 후 조직을 대신하여 동의를 사용하도록 설정한 다음 수락을 클릭합니다.

    경고: GitHub Enterprise Managed User (OIDC) 애플리케이션 설치에 동의하려면 전역 관리자 권한이 있는 사용자로 Entra ID에 로그인해야 합니다.

  8. 나중에 IdP를 사용할 수 없는 경우에도 GitHub에서 엔터프라이즈에 계속 액세스할 수 있도록 하려면 다운로드, 인쇄 또는 복사를 클릭하여 복구 코드를 저장합니다. 자세한 내용은 "엔터프라이즈 계정의 Single Sign-On 복구 코드 다운로드" 항목을 참조하세요.

  9. OIDC 인증 사용을 클릭합니다.

프로비저닝 사용

OIDC SSO를 사용하도록 설정한 후 프로비저닝을 사용하도록 설정합니다. "엔터프라이즈 관리 사용자용" 항목을 참조하세요.

게스트 협력자 사용

게스트 협력자 역할을 사용하여 엔터프라이즈의 공급업체 및 계약자에게 제한된 액세스 권한을 부여할 수 있습니다. 엔터프라이즈 구성원과 달리 게스트 협력자는 구성원으로 속해 있는 조직 내부 리포지토리에만 액세스할 수 있습니다.

OIDC 인증에 게스트 협력자를 사용하려면 Entra ID에서 설정을 업데이트해야 할 수 있습니다. "게스트 협력자 사용" 항목을 참조하세요.