Antes de seguir as etapas deste artigo, verifique se sua empresa usa usuários gerenciados. Você pode fazer isso verificando se sua visualização corporativa tem a barra de cabeçalho "Usuários gerenciados por NOME DA CONTA", na parte superior da tela. Se você vir isso, sua empresa usa usuários gerenciados e você pode seguir as etapas neste artigo.
Se sua empresa usa contas pessoais, você deve seguir um processo diferente para configurar o logon único SAML. Confira Configurar o logon único SAML para sua empresa.
Sobre SAML SSO para Enterprise Managed Users
Com os Enterprise Managed Users, o acesso aos recursos da sua empresa no GitHub.com ou no GHE.com precisa ser autenticado por meio do IdP (provedor de identidade). Em vez de entrar com um nome de usuário e uma senha do GitHub, os membros da sua empresa se conectarão por meio do IdP.
Depois de configurar o SAML SSO, recomendamos armazenar seus códigos de recuperação para que você possa recuperar o acesso à sua empresa caso o seu provedor de identidade não esteja disponível.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar o SAML para o OIDC".
Pré-requisitos
-
Entenda os requisitos de integração e o nível de suporte do seu IdP.
- O GitHub oferece uma integração de "caminho pavimentado" e suporte total se você usar um IdP de parceiro para autenticação e provisionamento.
- Como alternativa, você pode usar qualquer sistema ou combinação de sistemas que esteja em conformidade com o SAML 2.0 e o SCIM 2.0. No entanto, o suporte para resolver problemas com esses sistemas pode ser limitado.
Para ver mais detalhes, confira Sobre os Enterprise Managed Users.
-
Seu provedor de identidade deve seguir a especificação SAML 2.0. Consulte a Wiki SAML no site da OASIS.
-
Você deve ter acesso administrativo de locatário ao seu IdP.
-
Se estiver configurando o SSO do SAML para uma nova empresa, certifique-se de concluir todas as etapas anteriores no processo de configuração inicial. Confira Introdução aos Enterprise Managed Users.
Configure o SAML SSO para Enterprise Managed Users
Para configurar o SAML SSO para o seu empresa com usuários gerenciados, você deve configurar um aplicativo no seu provedor de identidade e depois configurar sua empresa no GitHub. Depois de configurar o SAML SSO, você poderá configurar o provisionamento de usuários.
Configurar seu provedor de identidade
-
Se você usar um IdP de parceiro, para instalar o aplicativo GitHub Enterprise Managed User, selecione o link para o IdP e o ambiente.
Provedor de identidade Aplicativo para o GitHub.com Aplicativo para o GHE.com Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User GitHub Enterprise Managed User – ghe.com PingFederate Site de downloads do PingFederate (navegue até a guia Complementos e selecione GitHub EMU Connector 1.0) Site de downloads do PingFederate (navegue até a guia Complementos e selecione GitHub EMU Connector 1.0) -
Para configurar o SSO do SAML para os Enterprise Managed Users em um IdP de parceiro, leia a documentação relevante do IdP e do ambiente.
Provedor de identidade Documentação do GitHub.com Documentação do GHE.com Microsoft Entra ID Microsoft Learn Microsoft Learn Okta Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa PingFederate Configurar autenticação e provisionamento com PingFederate ("Pré-requisitos" e "1. Configurar o SAML”) Configurar autenticação e provisionamento com PingFederate ("Pré-requisitos" e "1. Configurar o SAML”) Como alternativa, se você não usar um IdP de parceiro, use a referência de configuração do SAML para o GitHub Enterprise Cloud para criar e configurar um aplicativo SAML 2.0 genérico no IdP. Confira Referência de configuração do SAML.
-
Para testar e configurar sua empresa, atribua a você mesmo ou ao usuário que vai configurar o SAML SSO para sua empresa no GitHub para o aplicativo que você configurou para o Enterprise Managed Users em seu provedor de identidade.
Note
Para testar uma conexão de autenticação bem-sucedida na configuração, pelo menos um usuário deve ser atribuído ao IdP.
-
Para continuar a configurar sua empresa no GitHub, localize e anote as informações a seguir do aplicativo que você instalou no seu provedor de identidade.
Valor Outros nomes Descrição IdP Sign-On URL Login URL, IdP URL URL do aplicativo no seu IdP IdP Identifier URL Emissor Identificador de o IdP para prestadores de serviço para autenticação do SAML Certificado de assinatura, codificado em Base64 Certificado público Certificado público que o IdP usa para assinar solicitações de autenticação
Configurar sua empresa
Depois de configurar o SAML SSO para o Enterprise Managed Users em seu provedor de identidade, você poderá configurar sua empresa no GitHub.
Após a configuração inicial do SAML SSO, a única configuração que você pode atualizar no GitHub para sua configuração SAML existente é o certificado SAML. Se você precisar atualizar a URL de logon ou do emissor, primeiro desabilite o SAML SSO e, em seguida, redefina-o com as novas configurações. Para saber mais, confira Desabilitar a autenticação e o provisionamento em Enterprise Managed Users.
-
Entre como o usuário de instalação da sua empresa com o nome de usuário SHORT-CODE_admin, substituindo SHORT-CODE pelo código curto da sua empresa.
Note
Caso precise redefinir a senha para o usuário de instalação, entre em contato com o Suporte do GitHub por meio do Portal de Suporte do GitHub. A opção usual de redefinição de senha, fornecendo seu email, não funcionará.
-
Se você estiver usando um IdP de não parceiro (um IdP diferente do Okta, PingFederate ou Entra ID), antes de habilitar o SAML, deverá atualizar uma configuração para que possa configurar o SCIM usando a API REST. Confira Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa.
-
No canto superior direito do GitHub, selecione sua foto de perfil e depois Sua empresa.
-
No lado esquerdo da página, na barra lateral da conta corporativa, clique em Identity provider.
-
Em Identity Provider, clique em Single sign-on configuration.
-
Em "SAML single sign-on", selecione Add SAML configuration.
-
Na URL de logon, digite o ponto de extremidade HTTPS do seu provedor de identidade para as solicitações de SSO que você anotou ao configurar o provedor.
-
No Emissor, digite a URL do emissor do SAML que você anotou ao configurar o IdP para verificar a autenticidade das mensagens enviadas.
-
Em Certificado Público, cole o certificado que você anotou ao configurar seu IdP para verificar as respostas SAML.
-
Em Public Certificate, selecione os menus suspensos Signature Method e Digest Method e clique no algoritmo de hash usado pelo emissor SAML.
-
Antes de habilitar o SSO do SAML para sua empresa, a fim de garantir que as informações inseridas estejam corretas, clique em Testar configuração do SAML. Esse teste usa a autenticação iniciada pelo provedor de serviços (iniciada pelo SP) e deve ser bem-sucedida antes que você possa salvar as configurações de SAML.
-
Clique em Salvar configurações do SAML.
Note
Depois de exigir o SSO de SAML para sua empresa e salvar as configurações de SAML, o usuário da configuração continuará tendo acesso à empresa e permanecerá conectado ao GitHub junto com o contas de usuário gerenciadas provisionado pelo seu IdP, que também terá acesso à empresa.
-
Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".
Habilitar o provisionamento
Depois que você habilitar o SAML SSO, habilite o provisionamento. Para saber mais, confira Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa.
Habilitar colaboradores convidados
Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.
Se você usar o Entra ID ou o Okta para autenticação SAML, talvez seja necessário atualizar seu aplicativo de IdP para usar colaboradores convidados. Para saber mais, confira Habilitar colaboradores convidados.