Configuring OIDC for Enterprise Managed Users

이 문서의 내용

You can automatically manage access to your enterprise account on GitHub by configuring OpenID Connect (OIDC) single sign-on (SSO) and enable support for your IdP's Conditional Access Policy (CAP).

ID 공급자를 사용하여 엔터프라이즈의 사용자를 관리하려면 GitHub Enterprise Cloud에서 사용할 수 있는 Enterprise Managed Users에 대해 엔터프라이즈를 사용하도록 설정해야 합니다. 자세한 내용은 "Enterprise Managed Users 정보"을 참조하세요.

참고: Enterprise Managed Users에 대한 OIDC(OpenID Connect) 및 CAP(조건부 액세스 정책) 지원은 Azure AD만 사용할 수 있습니다.

About OIDC for Enterprise Managed Users

With Enterprise Managed Users, your enterprise uses your identity provider (IdP) to authenticate all members. You can use OpenID Connect (OIDC) to manage authentication for your 관리되는 사용자가 있는 엔터프라이즈. Enabling OIDC SSO is a one-click setup process with certificates managed by GitHub and your IdP.

엔터프라이즈에서 OIDC SSO를 사용하는 경우 GitHub는 IdP의 CAP(조건부 액세스 정책) IP 조건을 자동으로 사용하여 멤버가 IP 주소를 변경하고, personal access token 또는 SSH 키를 사용할 때마다 GitHub와의 사용자 상호 작용 유효성을 검사합니다. For more information, see "About support for your IdP's Conditional Access Policy."

You can adjust the lifetime of a session, and how often a 관리되는 사용자 계정 needs to reauthenticate with your IdP, by changing the lifetime policy property of the ID tokens issued for GitHub from your IdP. The default lifetime is one hour. For more information, see "Configure token lifetime policies" in the Azure AD documentation.

Note: If you need assistance configuring the OIDC session lifetime, contact Microsoft Support.

인증에 SAML SSO를 사용 중인 상태에서 OIDC를 사용하고 CAP 지원을 활용하려는 경우 마이그레이션 경로를 따를 수 있습니다. 자세한 내용은 "SAML에서 OIDC로 마이그레이션"을 참조하세요.

경고: GitHub Enterprise Importer를 사용하여 GitHub Enterprise Server 인스턴스에서 조직을 마이그레이션하는 경우 Azure AD CAP에서 제외된 서비스 계정을 사용해야 합니다. 그러지 않으면 마이그레이션이 차단될 수 있습니다.

Identity provider support

Support for OIDC is available for customers using Azure Active Directory (Azure AD).

Each Azure AD tenant can support only one OIDC integration with Enterprise Managed Users. If you want to connect Azure AD to more than one enterprise on GitHub, use SAML instead. For more information, see "Enterprise Managed Users에 대한 SAML Single Sign-On 구성."

OIDC does not support IdP-initiated authentication.

Configuring OIDC for Enterprise Managed Users

  1. Sign into GitHub.com as the setup user for your new enterprise with the username @SHORT-CODE_admin.

  2. GitHub.com의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음 Your enterprises(내 엔터프라이즈)를 클릭합니다.

  3. 엔터프라이즈 목록에서 보려는 엔터프라이즈를 클릭합니다.

  4. 엔터프라이즈 계정 사이드바에서 설정을 선택합니다.

  5. 설정 아래에서, 인증 보안을 클릭합니다.

  6. Under "OpenID Connect single sign-on", select Require OIDC single sign-on.

  7. To continue setup and be redirected to Azure AD, click Save.

  8. GitHub Enterprise Cloud가 리디렉션하면 IdP에 로그인한 후, 지침에 따라 동의하고 GitHub Enterprise Managed User (OIDC) 애플리케이션을 설치합니다. Azure AD가 OIDC를 사용하여 GitHub Enterprise Managed Users에 대한 권한을 요청한 후 조직을 대신하여 동의를 사용하도록 설정한 다음 수락을 클릭합니다.

    경고: GitHub Enterprise Managed User (OIDC) 애플리케이션 설치에 동의하려면 전역 관리자 권한이 있는 사용자로 Azure AD 로그인해야 합니다.

  9. 나중에 IdP를 사용할 수 없는 경우에도 GitHub.com에서 엔터프라이즈에 계속 액세스할 수 있도록 하려면 Download(다운로드), Print(인쇄) 또는 Copy(복사)를 클릭하여 복구 코드를 저장합니다. 자세한 내용은 "엔터프라이즈 계정의 Single Sign-On 복구 코드 다운로드"을(를) 참조하세요.

  10. Click Enable OIDC Authentication.

Enabling provisioning

After you enable OIDC SSO, enable provisioning. For more information, see "Enterprise Managed Users에 대한 SCIM 프로비저닝 구성."