엔터프라이즈용 SAML SSO 정보
SAML SSO를 사용하면 ID 관리를 위한 외부 시스템을 통해 GitHub Enterprise Server 인스턴스을(를) 인증하고 액세스할 수 있습니다.
SAML은 인증 및 권한 부여를 위한 XML 기반 표준입니다. GitHub Enterprise Server 인스턴스에 SAML을 구성하는 경우 인증을 위한 외부 시스템을 IdP(ID 공급자)라고 합니다. 인스턴스는 SAML SP(서비스 공급자) 역할을 합니다. SAML 표준에 관한 자세한 내용은 Wikipedia의 Security Assertion Markup Language를 참조하세요.
Note
SAML 또는 LDAP를 사용할 수 있지만, 둘 다 사용할 수는 없습니다.
SAML 또는 CAS를 사용하는 경우 GitHub Enterprise Server 인스턴스에서 2단계 인증이 지원되거나 관리되지 않지만 외부 인증 공급자는 지원할 수 있습니다. 조직에 대한 2단계 인증 적용은 사용할 수 없습니다. 조직의 2단계 인증을 적용하는 방법에 대한 자세한 내용은 조직에서 2단계 인증 요구을(를) 참조하세요.
SAML을 구성한 후 GitHub Enterprise Server 인스턴스을(를) 사용하는 사람은 personal access token을(를) 사용하여 API 요청을 인증해야 합니다. 자세한 내용은 개인용 액세스 토큰 관리을(를) 참조하세요.
외부 인증 공급자에 계정이 없는 일부 사용자에 대해 인증을 허용하려면 GitHub Enterprise Server 인스턴스의 로컬 계정에 대한 대체 인증을 허용할 수 있습니다. 자세한 내용은 공급자 외부 사용자에게 기본 제공 인증 허용을(를) 참조하세요.
GitHub의 SAML SSO 구성에 대한 자세한 내용은 엔터프라이즈에 대한 SAML Single Sign-On 구성을(를) 참조하세요.
사용자 계정 생성 정보
기본적으로 IdP는 애플리케이션을 할당하거나 할당을 취소할 때 GitHub와 자동으로 통신하지 않습니다. GitHub는 누군가 처음으로 GitHub Enterprise Server 인스턴스로 이동하고 IdP를 통해 인증하여 로그인할 때 SAML JIT(Just-in-Time) 프로비전을 사용하여 사용자 계정을 만듭니다. GitHub에 대한 액세스 권한을 부여할 때 사용자에게 수동으로 알려야 할 수 있으며, 오프보딩 중에 수동으로 GitHub에서 사용자 계정을 비활성화해야 합니다.
또는 SAML JIT 프로비전 대신 SCIM을 사용하여 IdP에서 애플리케이션을 할당 또는 할당 해제한 후 자동으로 GitHub Enterprise Server 인스턴스에 대한 사용자 계정 및 승인 또는 거부 액세스 권한을 생성 또는 일시 중단할 수 있습니다. GitHub Enterprise Server용 SCIM은 현재 비공개 베타 버전이며, 변경될 수 있습니다. 자세한 내용은 구성 사용자 프로비저닝 정보을(를) 참조하세요.
JIT 프로비저닝을 사용하면서 IdP에서 사용자를 제거하는 경우 GitHub Enterprise Server 인스턴스에서 사용자 계정을 수동으로 일시 중단해야 합니다. 그러지 않으면 계정의 소유자는 액세스 토큰 또는 SSH 키를 사용하여 계속 인증할 수 있습니다. 자세한 내용은 사용자 일시 중단 및 일시 중단 취소을(를) 참조하세요.
지원되는 IdP
GitHub는 SAML 2.0 표준을 구현하는 IdP가 있는 SAML SSO를 지원합니다. 자세한 내용은 OASIS 웹 사이트의 SAML Wiki를 참조하세요.
GitHub는 다음 IdP를 공식적으로 지원하고 내부적으로 테스트합니다.
- Microsoft AD FS(Active Directory Federation Services)
- Microsoft Entra ID(이전의 Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
IdP가 암호화된 어설션을 지원하는 경우 인증 프로세스 중에 보안을 강화하기 위해 GitHub Enterprise Server에서 암호화된 어설션을 구성할 수 있습니다.
GitHub는 SAML 단일 로그아웃을 지원하지 않습니다. 활성 SAML 세션을 종료하려면 사용자가 SAML IdP에서 직접 로그아웃해야 합니다.
추가 참고 자료
- 엔터프라이즈 IAM에 SAML 사용
- OASIS 웹 사이트의 SAML Wiki
- IETF 웹 사이트의 System for Cross-domain Identity Management: 프로토콜(RFC 7644)