Skip to main content

Sobre os Enterprise Managed Users

Você pode gerenciar centralmente a identidade e o acesso dos membros da sua empresa no GitHub usando seu provedor de identidade.

Sobre os Enterprise Managed Users

Com os Enterprise Managed Users, você gerencia o ciclo de vida e a autenticação de seus usuários em GitHub.com por meio de um sistema de gerenciamento de identidades externo, ou IdP. Você pode fornecer acesso ao GitHub Enterprise Cloud para pessoas que têm identidades existentes e associação a grupos em seu IdP. Seu IdP fornece às novas contas de usuário acesso à sua empresa em GitHub.com. Você controla nomes de usuários, dados de perfil, associações a equipes e acesso a repositórios das contas de usuário por meio do IdP.

Em seu IdP, você pode dar a cada conta de usuário gerenciada uma função, como membro, proprietário da empresa ou colaborador convidado. Contas de usuário gerenciadas podem ter organizações dentro da empresa e adicionar outros contas de usuário gerenciadas às organizações e equipes internamente. Para obter mais informações, confira "Funções em uma empresa" e "Sobre organizações."

Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é associada a uam conta de usuário. Para obter mais informações, confira "Sobre o suporte para a Política de Acesso Condicional do IdP."

Você pode permitir que os contas de usuário gerenciadas acessem repositórios na empresa e contribuam neles, mas os contas de usuário gerenciadas não podem criar conteúdo público nem colaborar com outros usuários, organizações e empresas no restante do GitHub. Para obter mais informações, confira "Habilidades e restrições de contas de usuário gerenciadas".

Os nomes de usuários que são contas de usuário gerenciadas da empresa e as respectivas informações de perfil como, nomes de exibição e endereços de email, são definidos por meio do IdP e não podem ser alterados pelos próprios usuários. Para obter mais informações, confira "Nomes de usuário e informações de perfil".

Os proprietários corporativos podem auditar todas as ações de contas de usuário gerenciadas no GitHub. Para obter mais informações, confira "Auditar eventos de log para sua empresa".

Para usar Enterprise Managed Users, você precisa de um tipo de conta corporativa separado com Enterprise Managed Users habilitado. Para obter mais informações sobre como criar essa conta, confira "Introdução ao Enterprise Managed Users".

Nota: há várias opções para gerenciamento de identidade e acesso com o GitHub Enterprise Cloud. O Enterprise Managed Users não é a melhor solução para todos os clientes. Para saber se o Enterprise Managed Users é adequado para sua empresa, confira "Choosing an enterprise type for GitHub Enterprise Cloud" e "Capacidades e restrições de contas de usuários gerenciados."

Sobre autenticação e provisionamento de usuários

Com os Enterprise Managed Users, seu IdP cria e atualiza contas de usuário em GitHub.com. Os usuários devem se autenticar em seu IdP para acessar os recursos da sua empresa em GitHub.com. O GitHub Enterprise Cloud mantém um registro da identidade externa em seu IdP que corresponde à conta de usuário.

A GitHub faz parceria com alguns desenvolvedores de sistemas de gerenciamento de identidades para fornecer uma integração simplificada com o Enterprise Managed Users. Esses IdPs fornecem principalmente autenticação usando SAML. O Microsoft Entra ID (o antigo Entra ID) também oferece OIDC para autenticação. Os aplicativos IdP fornecem aos usuários o System for Cross-domain Identity Management (SCIM).

IdP do parceiroSAMLOIDCSCIM
Entra ID
Okta
PingFederate

Outros IdPs devem aderir à especificação SAML 2.0 para autenticação. Você pode configurar o provisionamento com IdPs que seguem as diretrizes de integração do GitHub. O IdP deve aderir à especificação SCIM 2.0 e se comunicar com a API REST do GitHub. Por exemplo, o IdP pode ser um sistema de gerenciamento de identidade comercial que o GitHub não testou ou um sistema de identidade personalizado que sua empresa cria.

Observação: Support for provisioning users with GitHub's public SCIM schema is in public beta and subject to change.

Para saber mais sobre autenticação e provisionamento, confira os artigos a seguir.

Se você não usar o aplicativo de um IdP parceiro para autenticação e provisionamento, é possível configurar a autenticação usando o SAML e provisionar os usuários usando a API REST do GitHub. Para obter mais informações, confira "Provisionar usuários e grupos com SCIM usando a API REST" e consulte a documentação, a equipe de suporte ou outros recursos do IdP.

Alguns clientes relataram sucesso no uso do aplicativo de um IdP parceiro apenas para autenticação, em combinação com um sistema de gerenciamento de identidades diferente para provisionamento. Por exemplo, você pode usar o Okta para SSO do SAML e uma implementação SCIM personalizada para o provisionamento de usuário. O GitHub não oferece suporte expresso à combinação de IdPs parceiros para autenticação e provisionamento, não testa IdPs parceiros em combinação com outros IdPs e não testou todos os sistemas de gerenciamento de identidades.

Introdução aos Enterprise Managed Users

Para que os desenvolvedores possam usar o GitHub Enterprise Cloud com o Enterprise Managed Users, você precisa seguir uma série de etapas de configuração.

  1. Para usar Enterprise Managed Users, você precisa de um tipo de conta corporativa separado com Enterprise Managed Users habilitado. Para experimentar Enterprise Managed Users ou para discutir opções para a migração da sua empresa existente, entre em contato com a Equipe de vendas do GitHub.

    Seu ponto de contato na equipe do GitHub Sales de vendas vai trabalhar com você para criar um empresa com usuários gerenciados. Você deverá fornecer o endereço de e-mail para o usuário que irá configurar sua empresa e um código curto que será usado como sufixo para os nomes de usuários da sua empresa. O código curto precisa ser exclusivo da sua empresa, uma cadeia de caracteres alfanumérica de três a oito caracteres e não deve conter caracteres especiais. Para obter mais informações, confira "Nomes de usuário e informações de perfil".

  2. Após criarmos sua empresa, você receberá um e-mail de GitHub convidando você a escolher uma senha para o usuário de configuração da sua empresa, que será o primeiro proprietário da empresa. Use uma janela de navegação anônima ou privada ao definir a senha e salvar os códigos de recuperação do usuário. O usuário de configuração é usado apenas para configurar a integração entre o logon único e o provisionamento do SCIM para a empresa. Ele não terá mais permissão para acessar as configurações da empresa ou da organização depois que o SSO for configurado, a menos que um código de recuperação de SSO seja usado.

    O nome do usuário de configuração é o código curto da sua empresa com o sufixo _admin (por exemplo, fabrikam_admin). Se você precisar entrar como usuário de configuração mais tarde, poderá inserir o nome de usuário e a senha em qualquer página de logon. Um link para a página de logon também é fornecido na página de SSO, por conveniência.

    Caso precise redefinir a senha para o usuário de instalação, entre em contato com o Suporte do GitHub por meio do Portal de Suporte do GitHub.

  3. Depois que você entrar como o usuário de configuração, recomendamos que habilite a autenticação de dois fatores. A senha e as credenciais de dois fatores do usuário de configuração também podem ser usadas para entrar no modo sudo, que é necessário para executar ações confidenciais. Para obter mais informações, confira "Configurar a autenticação de dois fatores" e "Modo sudo."

  4. Para começar, configure como os membros serão autenticados. Se você estiver usando o Entra ID como seu IdP, poderá escolher entre o OIDC (OpenID Connect) e o SAML (Security Assertion Markup Language). Recomendamos o OIDC, que inclui suporte para CAP (Políticas de Acesso Condicional). Se você precisar de várias empresas com contas de usuário gerenciadas provisionados por meio de um locatário, será necessário usar SAML para cada empresa após a primeira. Se você estiver usando outro IdP, como Okta ou PingFederate, será possível usar SAML para autenticar seus membros.

    Para começar, leia o guia do método de autenticação escolhido.

  5. Depois de configurar o SSO, você poderá configurar o provisionamento do SCIM. O SCIM é a forma como o seu provedor de identidade criará contas de usuário gerenciadas no GitHub.com. Para obter mais informações sobre como configurar o provisionamento do SCIM, confira "Configurando o provisionamento de SCIM para usuários gerenciados pela empresa."

  6. Depois que a autenticação e o provisionamento forem configurados, você poderá começar a gerenciar a associação à organização para os contas de usuário gerenciadas sincronizando os grupos de IdP com as equipes. Para obter mais informações, confira "Gerenciando associações de equipes com grupos de provedores de identidade".

Se os membros da sua empresa precisarem usar uma estação de trabalho para contribuir com os repositórios no GitHub.com por meio de um conta de usuário gerenciada e de uma conta pessoal, você poderá fornecer suporte. Para obter mais informações, confira "Suporte a desenvolvedores com várias contas de usuário em GitHub.com".

Sobre o gerenciamento de associação da organização

As associações da organização podem ser gerenciadas manualmente ou você pode atualizá-las automaticamente usando grupos do IdP. Para gerenciar associações da organização por meio do IdP, os membros precisam ser adicionados a um grupo do IdP e esse grupo precisa estar conectado a uma equipe dentro da organização. Para obter mais informações de como gerenciar a organização e a associação de equipe automaticamente, confira "Gerenciando associações de equipes com grupos de provedores de identidade."

A maneira em que um membro é adicionado a uma organização pertencente à empresa (por meio de grupos do IdP ou manualmente) determina como ele deve ser removido de uma organização.

  • Se um membro foi adicionado a uma organização manualmente, você deverá removê-lo manualmente. O cancelamento a atribuição do aplicativo GitHub Enterprise Managed User no IdP suspende o usuário, mas não o remove da organização.
  • Se um usuário se tornou membro de uma organização porque foi adicionado a grupos do IdP mapeados para uma ou mais equipes na organização, quando ele for removido de todos os grupos do IdP mapeados associados à organização, ele será removido da organização.

Para descobrir como um membro foi adicionado a uma organização, você pode filtrar a lista de membros por tipo. Para obter mais informações, confira "Visualizar pessoas na sua empresa".

Fazer a autenticação como uma conta de usuário gerenciada

As Contas de usuário gerenciadas precisam fazer a autenticação por meio do seu provedor de identidade. A maneira como os contas de usuário gerenciadas autenticam depende se você configura a autenticação SAML ou OIDC.

Se sua empresa estiver configurada para autenticação SAML, um conta de usuário gerenciada poderá acessar sua empresa visitando o portal de aplicativos do provedor de identidade. Se sua empresa estiver configurada para autenticação OIDC, um conta de usuário gerenciada pode acessar sua empresa usando a página de logon em GitHub.com. A autenticação iniciada por IdP não tem suporte atuaçmente para OIDC. Em qualquer configuração, um conta de usuário gerenciada pode iniciar a autenticação diretamente da página da organização ou da empresa em GitHub.com.

Por padrão, quando um usuário não autenticado tenta acessar uma empresa que usa Enterprise Managed Users, o GitHub exibe um erro 404. Opcionalmente, um proprietário corporativo pode habilitar redirecionamentos automáticos para SSO (logon único) em vez do 404. Para obter mais informações, confira "Aplicando políticas para configurações de segurança na sua empresa".

Se um erro de configuração do SAML ou um problema com o IdP (provedor de identidade) impedir que você use o SSO do SAML, use um código de recuperação para acessar sua empresa. Para obter mais informações, confira "Gerenciando códigos de recuperação para a sua empresa".

Fazer a autenticação como conta de usuário gerenciada por meio do GitHub.com

  1. Navegue até https://github.com/login.
  2. Na caixa de texto "Nome de usuário ou endereço de e-mail", insira seu nome de usuário, incluindo o sublinhado e o código curto. Ao reconhecer seu nome de usuário, o formulário será atualizado. Você não precisa digitar sua senha neste formulário.
  3. Para continuar acessando o provedor de identidade, clique em Entrar com seu provedor de identidade.

Nome de usuário e informações de perfil

O GitHub Enterprise Cloud cria automaticamente um nome de usuário para cada pessoa normalizando um identificador fornecido pelo IdP. Para obter mais informações, confira "Considerações de nome de usuário para autenticação externa".

O nome do perfil e o endereço de email de um conta de usuário gerenciada é fornecido pelo IdP. Os Contas de usuário gerenciadas não podem alterar o nome de perfil nem o endereço de email no GitHub e o IdP pode fornecer um só endereço de email. Se você alterar o endereço de e-mail associado a um usuário em seu IdP, isso desvinculará o usuário do histórico de contribuições associado ao seu endereço de email antigo.

Um conflito poderá ocorrer ao provisionar usuários se as partes exclusivas do identificador fornecidas pelo IdP forem removidas durante a normalização. Se você não puder provisionar um usuário devido a um conflito de nome de usuário, você deverá modificar o nome de usuário fornecido pelo IdP. Para obter mais informações, confira "Considerações de nome de usuário para autenticação externa".

Observação: como o GitHub adiciona um sublinhado e um código curto ao identificador normalizado fornecido pelo IdP ao criar cada nome de usuário, os conflitos só podem ocorrer dentro de cada empresa com usuários gerenciados. O Contas de usuário gerenciadas pode compartilhar identificadores de IdP ou endereços de email com outras contas de usuário no GitHub.com que são externas à empresa.

Suporte a desenvolvedores com várias contas de usuário em GitHub.com

As pessoas da equipe talvez precisem contribuir com recursos em GitHub.com que estão fora da empresa com usuários gerenciados. Por exemplo, talvez você deseje manter uma empresa separada para os projetos de código aberto da sua empresa. Como um conta de usuário gerenciada não pode contribuir com recursos públicos, os usuários precisarão manter uma conta pessoal separada para esse trabalho.

As pessoas que precisam contribuir com duas contas de usuário em GitHub.com usando uma estação de trabalho podem configurar o Git para simplificar o processo. Para obter mais informações, confira "Como gerenciar várias contas".

Se houver pessoas em sua equipe que precisam alternar regularmente entre contas no GitHub.com, como suas contas pessoais e uma ou mais contas de usuário gerenciadas, é possível entrar em várias contas e alternar rapidamente entre elas sem precisar se autenticar novamente sempre. Para obter mais informações, confira "Como alternar entre contas".