Configuring SAML single sign-on for your enterprise

You can control and secure access to resources like repositories, issues, and pull requests within your enterprise's organizations by enforcing SAML single sign-on (SSO) through your identity provider (IdP).

누가 이 기능을 사용할 수 있는 있나요?

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

이 문서의 내용

참고: 엔터프라이즈에서 Enterprise Managed Users를 사용하는 경우 다른 프로세스를 따라 SAML Single Sign-On을 구성해야 합니다. 자세한 내용은 "Enterprise Managed Users에 대한 SAML Single Sign-On 구성"을(를) 참조하세요.

About SAML SSO

SAML SSO(Single Sign-On)를 사용하면 GitHub Enterprise Cloud를 사용하는 조직 소유자 및 엔터프라이즈 소유자가 리포지토리, 이슈, 끌어오기 요청 등의 조직 리소스에 대한 액세스를 제어하고 보호할 수 있습니다.

SAML SSO를 구성하는 경우 조직 멤버는 GitHub.com에서 개인 계정에 계속 로그인합니다. 멤버가 조직 내 가장 많은 리소스에 액세스하면 GitHub는 인증을 위해 멤버를 IdP로 리디렉션합니다. 인증에 성공하면 IdP는 멤버를 GitHub로 다시 리디렉션합니다. 자세한 내용은 "SAML Single Sign-On을 사용한 인증 정보"을(를) 참조하세요.

참고: SAML SSO는 GitHub에 대한 일반 로그인 프로세스를 대체하지 않습니다. Enterprise Managed Users을(를) 사용하지 않는 한 멤버는 GitHub.com에서 자신의 개인 계정에 계속 로그인하고 각 개인 계정은 IdP의 외부 ID에 연결됩니다.

For more information, see "SAML Single Sign-On을 사용하는 ID 및 액세스 관리 정보."

엔터프라이즈 소유자는 엔터프라이즈 계정이 소유한 모든 조직에서 SAML IdP를 통해 SAML SSO 및 중앙 집중식 인증을 사용하도록 설정할 수 있습니다. SAML SSO를 엔터프라이즈 계정에 사용하도록 설정하면 기본적으로 SAML SSO를 엔터프라이즈 계정에서 소유한 모든 조직에 사용하도록 설정됩니다. 모든 멤버는 자신이 멤버인 조직에 대한 액세스 권한을 얻기 위해 SAML SSO를 사용하여 인증해야 하며, 엔터프라이즈 소유자는 Enterprise Account에 액세스할 때 SAML SSO를 사용하여 인증해야 합니다.

GitHub Enterprise Cloud에서 각 조직의 리소스에 액세스하려면 구성원이 브라우저에 활성 SAML 세션이 있어야 합니다. API 및 Git을 사용하여 각 조직의 보호된 리소스에 액세스하려면 구성원이 조직에서 사용하도록 권한을 부여한 personal access token 또는 SSH 키를 사용해야 합니다. 엔터프라이즈 소유자는 언제든지 멤버의 연결된 ID, 활성 세션 또는 권한 있는 자격 증명을 보고 해지할 수 있습니다. For more information, see "엔터프라이즈에 대한 사용자의 SAML 액세스 보기 및 관리."

참고: 계정이 Enterprise Managed Users에 대해 만들어지지 않는 한 엔터프라이즈 계정 SCIM을 구성할 수 없습니다. 자세한 내용은 "Enterprise Managed Users 정보"을(를) 참조하세요.

Enterprise Managed Users을(를) 사용하지 않고 SCIM 프로비저닝을 사용하려는 경우 엔터프라이즈 수준이 아닌 조직 수준에서 SAML SSO를 구성해야 합니다. 자세한 내용은 "SAML Single Sign-On을 사용하는 ID 및 액세스 관리 정보"을(를) 참조하세요.

SAML SSO를 사용하지 않도록 설정하면 연결된 모든 외부 ID가 GitHub Enterprise Cloud에서 제거됩니다.

SAML SSO를 사용하도록 설정한 후에는 OAuth app 및 GitHub App 권한 부여를 취소하고 다시 인증해야 조직에 액세스할 수 있습니다. 자세한 내용은 "OAuth 앱 권한 부여"을(를) 참조하세요.

Supported identity providers

GitHub Enterprise Cloud는 SAML 2.0 표준을 구현하는 IdP가 있는 SAML SSO를 지원합니다. 자세한 내용은 OASIS 웹 사이트의 SAML Wiki를 참조하세요.

GitHub는 다음 IdP를 공식적으로 지원하고 내부적으로 테스트합니다.

  • Microsoft AD FS(Active Directory Federation Services)
  • Microsoft Entra ID(이전의 Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

For more information about connecting Microsoft Entra ID (previously known as Azure AD) to your enterprise, see Tutorial: Microsoft Entra SSO integration with GitHub Enterprise Cloud - Enterprise Account in Microsoft Docs.

Enforcing SAML single-sign on for organizations in your enterprise account

When you enforce SAML SSO for your enterprise, the enterprise configuration will override any existing organization-level SAML configurations. 엔터프라이즈 계정이 소유한 조직이 이미 SAML SSO를 사용하도록 구성된 경우 엔터프라이즈 계정에 SAML SSO를 사용하도록 설정할 때 특별히 고려해야 하는 사항이 있습니다. For more information, see "SAML 구성을 조직에서 엔터프라이즈 계정으로 전환."

When you enforce SAML SSO for an organization, GitHub removes any members of the organization that have not authenticated successfully with your SAML IdP. When you require SAML SSO for your enterprise, GitHub does not remove members of the enterprise that have not authenticated successfully with your SAML IdP. The next time a member accesses the enterprise's resources, the member must authenticate with your SAML IdP.

For more detailed information about how to enable SAML using Okta, see "OKTA를 사용하여 엔터프라이즈에 대한 SAML Single Sign-On 구성."

  1. GitHub의 오른쪽 위 모서리에서 프로필 사진을 클릭한 다음 엔터프라이즈를 클릭합니다.

  2. 엔터프라이즈 목록에서 보려는 엔터프라이즈를 클릭합니다.

  3. 엔터프라이즈 계정 사이드바에서 설정을 선택합니다.

  4. 설정 아래에서, 인증 보안을 클릭합니다.

  5. 필요에 따라 설정을 변경하기 전에 엔터프라이즈 계정의 모든 조직에 대한 현재 구성을 보려면 조직의 현재 구성 보기를 클릭합니다.

    엔터프라이즈 설정의 정책 스크린샷입니다. "조직의 현재 구성 보기" 레이블이 지정된 링크가 주황색 윤곽선으로 강조 표시됩니다.

  6. Under "SAML single sign-on", select Require SAML authentication.

  7. In the Sign on URL field, type the HTTPS endpoint of your IdP for single sign-on requests. This value is available in your IdP configuration.

  8. Optionally, in the Issuer field, type your SAML issuer URL to verify the authenticity of sent messages.

  9. Under Public Certificate, paste a certificate to verify SAML responses. This is the public key corresponding to the private key used to sign SAML responses.

    To find the certificate, refer to the documentation for your IdP. Some IdPs call this an X.509 certificate.

  10. 공용 인증서의 현재 서명 및 다이제스트 메서드 오른쪽에서 을 클릭합니다.

    SAML 설정의 현재 서명 메서드 및 다이제스트 메서드 스크린샷. 연필 아이콘이 주황색 윤곽선으로 강조 표시됩니다.

  11. 드롭다운 메뉴에서 서명 방법다이제스트 방법을 선택하고 SAML 발급자가 사용하는 해시 알고리즘을 클릭합니다.

  12. Before enabling SAML SSO for your enterprise, to ensure that the information you've entered is correct, click Test SAML configuration . 이 테스트는 SP 시작(서비스 공급자 시작) 인증을 사용하며 SAML 설정을 저장하려면 먼저 성공해야 합니다.

  13. Click Save.

  14. 나중에 IdP를 사용할 수 없는 경우에도 GitHub.com에서 엔터프라이즈에 계속 액세스할 수 있도록 하려면 Download(다운로드), Print(인쇄) 또는 Copy(복사)를 클릭하여 복구 코드를 저장합니다. 자세한 내용은 "엔터프라이즈 계정의 Single Sign-On 복구 코드 다운로드"을(를) 참조하세요.

Further reading