Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para Azure AD.
Sobre o OIDC para usuários empresariais gerenciados
Com Enterprise Managed Users, sua empresa usa o IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OIDC (OpenID Connect) para gerenciar a autenticação do seu empresa com usuários gerenciados. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados pelo GitHub e pelo IdP.
Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações do usuário com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é usado. Para saber mais, confira "Sobre o suporte para a Política de Acesso Condicional do IdP".
Você pode ajustar o tempo de vida de uma sessão e a frequência com que um conta de usuário gerenciada precisa ser reautenticado no IdP alterando a propriedade de política de tempo de vida dos tokens de ID emitidos para o GitHub do seu IdP. O tempo de vida padrão é de uma hora. Para obter mais informações, confira "Tempos de vida de token configuráveis na plataforma de identidade da Microsoft" na documentação do Azure AD.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar o SAML para o OIDC".
Aviso: se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Azure AD, caso contrário, a migração poderá ser bloqueada.
Suporte do provedor de identidade
O suporte ao OIDC está disponível para clientes que usam o Azure AD (Azure Active Directory).
Cada locatário do Azure AD pode dar suporte a apenas uma integração do OIDC com Enterprise Managed Users. Se você quiser conectar o Azure AD a mais de uma empresa no GitHub, use o SAML. Para obter mais informações, confira "Configurar o logon único SAML para usuários gerenciados pela empresa".
Como configurar o OIDC para usuários empresariais gerenciados
-
Entre no GitHub.com como o usuário de instalação para sua nova empresa com o nome de usuário @SHORT-CODE_admin.
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Selecione Exigir logon único do OIDC.
-
Para continuar a instalação e ser redirecionado ao Azure AD, clique em Salvar.
-
Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Azure AD solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.
1. Para garantir que ainda possa acessar sua empresa caso seu provedor de identidade esteja indisponível no futuro, clique em **Baixar**, **Imprimir** ou **Copiar** para salvar os códigos de recuperação. Para obter mais informações, confira "[AUTOTITLE](/admin/identity-and-access-management/managing-recovery-codes-for-your-enterprise/downloading-your-enterprise-accounts-single-sign-on-recovery-codes)".Aviso: você precisa entrar no Azure AD como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).
Habilitando provisionamento
Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Para obter mais informações, confira "Configurando o provisionamento de SCIM para usuários gerenciados pela empresa".