Skip to main content

Como configurar o OIDC para usuários empresariais gerenciados

Você pode gerenciar automaticamente o acesso à conta empresarial no GitHub configurando o SSO (logon único) do OIDC (OpenID Connect) e habilitar o suporte para a CAP (política de acesso condicional) do IdP.

Quem pode usar esse recurso?

Para gerenciar os usuários na sua empresa com seu provedor de identidade, a empresa precisa estar habilitada para os Enterprise Managed Users, que está disponível no GitHub Enterprise Cloud. Para obter mais informações, confira "Sobre os Enterprise Managed Users".

Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para o Microsoft Entra ID (o antigo Azure AD).

Sobre o OIDC para usuários empresariais gerenciados

Com Enterprise Managed Users, sua empresa usa o IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OIDC (OpenID Connect) para gerenciar a autenticação do seu empresa com usuários gerenciados. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados pelo GitHub e pelo IdP.

Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações do usuário com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é usado. Para saber mais, confira "About support for your IdP's Conditional Access Policy".

Você pode ajustar o tempo de vida de uma sessão e a frequência com que um conta de usuário gerenciada precisa ser reautenticado no IdP alterando a propriedade de política de tempo de vida dos tokens de ID emitidos para o GitHub do seu IdP. O tempo de vida padrão é de uma hora. Para obter mais informações, consulte "Configurar políticas de tempo de vida do token" no Microsoft Learn.

Observação: se precisar de ajuda para configurar o tempo de vida da sessão OIDC, entre em contato com o Suporte da Microsoft.

Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar o SAML para o OIDC".

Aviso: se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.

Suporte do provedor de identidade

O suporte para OIDC está disponível para clientes que usam o Entra ID.

Cada locatário do Entra ID pode dar suporte a apenas uma integração OIDC com o Enterprise Managed Users. Se você quiser conectar o Entra ID a mais de uma empresa no GitHub, use o SAML em seu lugar. Para obter mais informações, confira "Configurar o logon único SAML para usuários gerenciados pela empresa".

O OIDC não dá suporte à autenticação iniciada por IdP.

Como configurar o OIDC para usuários empresariais gerenciados

  1. Entre no GitHub.com como o usuário de instalação para sua nova empresa com o nome de usuário @SHORT-CODE_admin.

  2. No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.

  3. Na lista de empresas, clique na empresa que você deseja visualizar.

  4. Na barra lateral da conta corporativa, clique em Configurações.

  5. Em Configurações, clique em Segurança da autenticação.

  6. Em "Logon único do OpenID Connect", selecione Exigir logon único do OIDC.

  7. Para continuar a instalação e ser redirecionado para o Entra ID, clique em Salvar.

  8. Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Aviso: você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  9. Para garantir que você ainda possa acessar sua empresa no GitHub.com se o seu IdP não estiver disponível no futuro, clique em Baixar, Imprimir ou Copiar para salvar seus códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

  10. Clique em Habilitar Autenticação OIDC.

Habilitando provisionamento

Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Para obter mais informações, confira "Configurando o provisionamento de SCIM para usuários gerenciados pela empresa".

Habilitar colaboradores convidados

Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.

Para usar colaboradores convidados com autenticação OIDC, talvez seja necessário atualizar suas configurações no Entra ID. Para obter mais informações, confira "Habilitar colaboradores convidados".