Enterprise Managed Users에 대한 SAML Single Sign-On 구성

이 문서의 내용

SAML(Security Assertion Markup Language) SSO(Single Sign-On)를 구성하여 GitHub에서 엔터프라이즈 계정에 대한 액세스를 자동으로 관리할 수 있습니다.

ID 공급자를 사용하여 엔터프라이즈의 사용자를 관리하려면 GitHub Enterprise Cloud에서 사용할 수 있는 Enterprise Managed Users에 대해 엔터프라이즈를 사용하도록 설정해야 합니다. 자세한 내용은 "Enterprise Managed Users 정보"을 참조하세요.

Enterprise Managed Users을(를) 위한 SAML SSO 정보

Enterprise Managed Users을(를) 사용하면 ID 공급자(IdP)를 통해 GitHub.com에서 엔터프라이즈 자원에 대한 액세스 권한을 인증해야 합니다. GitHub에 GitHub 사용자 이름과 암호로 로그인하는 대신 엔터프라이즈 멤버는 IdP를 통해 로그인합니다.

SAML SSO를 구성한 후에는 IdP를 사용할 수 없는 경우 엔터프라이즈에 대한 액세스 권한을 복구할 수 있도록 복구 코드를 저장하는 것이 좋습니다.

인증에 SAML SSO를 사용 중인 상태에서 OIDC를 사용하고 CAP 지원을 활용하려는 경우 마이그레이션 경로를 따를 수 있습니다. 자세한 내용은 "SAML에서 OIDC로 마이그레이션"을 참조하세요.

필수 조건

  • IdP에 대한 통합 요구 사항 및 지원 수준을 파악해야 합니다. 자세한 내용은 "Enterprise Managed Users 정보"을(를) 참조하세요.

  • IdP는 SAML 2.0 사양을 준수해야 합니다. 자세한 내용은 OASIS 웹 사이트의 SAML Wiki를 참조하세요.

  • Enterprise Managed Users을(를) 사용하여 SAML SSO에 대한 IdP를 구성하려면 IdP에 대한 테넌트 및 관리자 액세스 권한이 있어야 합니다.

  • 처음 인증 및 프로비저닝을 구성한 후 GitHub에서는 인증 또는 프로비저닝을 위해 다른 플랫폼으로의 마이그레이션을 권장하지 않습니다. 인증 또는 프로비저닝을 위해 기존 엔터프라이즈를 다른 플랫폼으로 마이그레이션해야 하는 경우 GitHub의 영업 팀에서 영업 담당자에게 문의하세요.

Enterprise Managed Users에 대한 SAML SSO 구성

에 SAML SSO를 구성하려면 IdP에서 애플리케이션을 구성한 다음, GitHub.com에서 엔터프라이즈를 구성해야 합니다. SAML SSO를 구성한 후 사용자 프로비저닝을 구성할 수 있습니다.

  1. IdP 구성
  2. 엔터프라이즈 구성
  3. 프로비저닝 사용

IdP 구성

  1. 파트너 IdP를 사용하는 경우 GitHub Enterprise Managed User 애플리케이션을 설치하려면 다음 링크 중 하나를 클릭합니다.

  2. IdP에서 Enterprise Managed Users에 대한 SAML SSO를 구성하려면 다음 설명서를 읽어봅니다. 파트너 IdP를 사용하지 않는 경우 GitHub Enterprise Cloud에 대한 SAML 구성 참조를 사용하여 IdP에서 일반 SAML 2.0 애플리케이션을 만들고 구성할 수 있습니다.

  3. 엔터프라이즈를 테스트하고 구성하려면 GitHub.com에서 엔터프라이즈용 SAML SSO를 구성할 사용자를 IdP의 Enterprise Managed Users에 대해 구성한 애플리케이션에 할당합니다.

  4. GitHub.com에서 엔터프라이즈를 계속 구성하려면 IdP에 설치한 애플리케이션에서 다음 정보를 찾고 기록해 둡니다.

    기타 이름설명
    IdP 로그온 URL로그인 URL, IdP URLIdP의 애플리케이션 URL
    IdP 식별자 URLIssuerSAML 인증을 위한 서비스 공급자에 대한 IdP 식별자
    서명 인증서, Base64 인코딩공용 인증서IdP가 인증 요청에 서명하는 데 사용하는 퍼블릭 인증서

엔터프라이즈 구성

IdP에 Enterprise Managed Users을(를) 위한 SAML SSO를 구성하고 나서 GitHub.com에 엔터프라이즈를 구성할 수 있습니다.

SAML SSO의 초기 구성 후에 기존 SAML 구성에 대해 GitHub.com에서 업데이트할 수 있는 유일한 설정은 SAML 인증서입니다. 로그온 URL 또는 발급자 URL을 업데이트해야 하는 경우 먼저 SAML SSO를 사용하지 않도록 설정한 다음, 새 설정으로 SAML SSO를 재구성해야 합니다. 자세한 내용은 "Disabling authentication for Enterprise Managed Users"을(를) 참조하세요.

  1. 엔터프라이즈의 단축 코드 SHORT-CODE 대신 사용자 이름 @SHORT-CODE_admin을 사용하여 엔터프라이즈의 설치 사용자로 GitHub.com에 로그인합니다.

    참고: 설치 사용자의 암호를 재설정해야 하는 경우 GitHub 지원 포털을 통해 GitHub 지원에 문의하세요.

  2. GitHub.com의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음 Your enterprises(내 엔터프라이즈)를 클릭합니다.

  3. 엔터프라이즈 목록에서 보려는 엔터프라이즈를 클릭합니다.

  4. 엔터프라이즈 계정 사이드바에서 설정을 선택합니다.

  5. 설정 아래에서, 인증 보안을 클릭합니다.

  6. “SAML Single Sign-On”에서 SAML 인증 필요를 선택합니다.

  7. 로그온 URL에서 IdP를 구성하는 동안 기록해 둔 SSO 요청에 대한 IdP의 HTTPS 엔드포인트를 입력합니다.

  8. 발급자에서 IdP를 구성하는 동안 기록해 둔 SAML 발급자 URL을 입력하여 보낸 메시지의 신뢰성을 확인합니다.

  9. 퍼블릭 인증서에서 IdP를 구성하는 동안 기록해 둔 인증서를 붙여넣어 SAML 응답을 확인합니다.

  10. 공용 인증서의 현재 서명 및 다이제스트 메서드 오른쪽에서 을 클릭합니다.

    SAML 설정의 현재 서명 메서드 및 다이제스트 메서드 스크린샷. 연필 아이콘이 주황색 윤곽선으로 강조 표시됩니다.

  11. 드롭다운 메뉴에서 서명 방법다이제스트 방법을 선택하고 SAML 발급자가 사용하는 해시 알고리즘을 클릭합니다.

  12. 엔터프라이즈에 SAML SSO를 사용하도록 설정하기 전에 입력한 정보가 올바른지 확인하려면 SAML 구성 테스트를 클릭합니다. 이 테스트는 SP 시작(서비스 공급자 시작) 인증을 사용하며 SAML 설정을 저장하려면 먼저 성공해야 합니다.

  13. 저장을 클릭합니다.

    참고: 엔터프라이즈에 대한 SAML SSO를 요구하고 나서 설치 사용자는 더 이상 엔터프라이즈에 액세스할 수 없지만 GitHub에 로그인한 상태로 유지됩니다. IdP에서 프로비저닝된 관리되는 사용자 계정만 엔터프라이즈에 액세스할 수 있습니다.

  14. 나중에 IdP를 사용할 수 없는 경우에도 GitHub.com에서 엔터프라이즈에 계속 액세스할 수 있도록 하려면 Download(다운로드), Print(인쇄) 또는 Copy(복사)를 클릭하여 복구 코드를 저장합니다. 자세한 내용은 "엔터프라이즈 계정의 Single Sign-On 복구 코드 다운로드"을(를) 참조하세요.

프로비저닝 사용

SAML SSO를 사용하도록 설정한 후 프로비저닝을 사용하도록 설정합니다. 자세한 내용은 "Enterprise Managed Users에 대한 SCIM 프로비저닝 구성"을(를) 참조하세요.

게스트 협력자 사용

엔터프라이즈에서 Enterprise Managed Users을(를) 사용하는 경우 게스트 협력자의 역할을 사용하여 공급업체 및 계약자에게 제한된 액세스 권한을 부여할 수 있습니다. 게스트 협력자는 IdP에 의해 프로비전되며 추가한 특정 리포지토리 또는 조직에만 액세스할 수 있습니다. 게스트 협력자는 멤버인 조직 내의 내부 리포지토리와 명확히 액세스 권한을 인증받은 개인 리포지토리에만 액세스할 수 있습니다. 게스트 협력자는 멤버가 아닌 조직의 내부 리포지토리를 절대 볼 수 없습니다. 자세한 내용은 "엔터프라이즈에서의 역할"을(를) 참조하세요.

SAML 인증을 위해 Azure AD 또는 Okta를 사용하는 경우 게스트 협력자를 사용할 수 있도록 IdP 애플리케이션을 업데이트해야 할 수 있습니다.

Azure AD를 사용하는 경우 게스트 협력자 사용

  1. Azure Portal에 로그인합니다.

  2. ID를 클릭합니다.

  3. 애플리케이션을 클릭합니다.

  4. 엔터프라이즈 애플리케이션을 클릭합니다.

  5. 모든 애플리케이션을 클릭합니다.

  6. Enterprise Managed Users 애플리케이션에 대한 세부 정보 보기

  7. 왼쪽 사이드바에서 사용자 및 그룹을 클릭합니다.

  8. 애플리케이션 등록을 봅니다.

    • 애플리케이션 등록에 "제한된 사용자" 또는 "게스트 협력자" 역할이 표시되면 게스트 협력자를 엔터프라이즈에 초대할 준비가 된 것입니다.
    • 애플리케이션 등록에 역할이 표시되지 않으면 다음 단계를 진행합니다.

  9. Azure Portal에서 앱 등록을 클릭합니다.

  10. 모든 애플리케이션을 클릭한 다음 검색 창을 사용하여 Enterprise Managed Users에 대한 애플리케이션을 찾습니다.

  11. SAML 애플리케이션을 클릭합니다.

  12. 왼쪽 사이드바에서 매니페스트를 클릭합니다.

  13. "appRoles"에서 다음을 추가합니다.

    {
  "allowedMemberTypes": [
    "User"
  ],
  "description": "Guest Collaborator",
  "displayName": "Guest Collaborator",
  "id": "1ebc4a02-e56c-43a6-92a5-02ee09b90824",
  "isEnabled": true,
  "lang": null,
  "origin": "Application",
  "value": "null"
},

    참고: id 값은 중요합니다. 다른 id 값이 있다면 업데이트가 실패합니다.

  14. 저장을 클릭합니다.

Okta를 사용하여 엔터프라이즈에 게스트 협력자 사용

게스트 협력자 역할을 Okta 애플리케이션에 추가하려면 다음을 수행합니다.

  1. OKTA에서 Enterprise Managed Users에 대한 애플리케이션으로 이동합니다.

  2. 프로비저닝을 클릭합니다.

  3. 프로필 편집기로 이동을 클릭합니다.

  4. 프로필 편집기 아래쪽에서 "역할"을 찾고 편집 아이콘을 클릭합니다.

  5. 새 역할을 추가합니다.

    • "표시 이름"에 Guest Collaborator을(를) 입력합니다.
    • "값"에 guest_collaborator을 입력합니다.

  6. 저장을 클릭합니다.

엔터프라이즈에 게스트 협력자 추가

엔터프라이즈에 게스트 협력자를 사용하도록 설정한 후에 엔터프라이즈에 게스트 협력자를 추가할 수 있습니다. 자세한 내용은 "Enterprise Managed Users에 대한 SCIM 프로비저닝 구성"을(를) 참조하세요.