Como configurar o OIDC para usuários empresariais gerenciados

Saiba como gerenciar automaticamente o acesso à conta empresarial no GitHub ao configurar o SSO (logon único) do OIDC (OpenID Connect) e habilitar o suporte para a CAP (política de acesso condicional) do IdP.

Quem pode usar esse recurso?

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira Sobre os Enterprise Managed Users.

Neste artigo

Note

O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).

Sobre o OIDC para usuários empresariais gerenciados

Com Enterprise Managed Users, sua empresa usa o IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OIDC (OpenID Connect) para gerenciar a autenticação do seu empresa com usuários gerenciados. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados pelo GitHub e pelo IdP.

Quando a sua empresa usar o SSO do OIDC, o GitHub usará automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros usarem a IU da Web ou alterarem os endereços IP e para cada autenticação com um personal access token ou uma chave SSH associada a uma conta de usuário. Confira Sobre o suporte para a Política de Acesso Condicional do IdP.

Note

A proteção de CAP para sessões da Web atualmente está em versão prévia pública e poderá ser alterada.

Se o suporte ao IdP CAP já estiver habilitado para sua empresa, você poderá optar pela proteção estendida para sessões da Web nas configurações de "Authentication security" da empresa. Quando a proteção de sessão da Web está habilitada e as condições de IP de um usuário não são atendidas, ele pode exibir e filtrar todos os recursos de propriedade do usuário, mas não pode exibir os detalhes dos resultados para notificações, pesquisas, painéis pessoais ou repositórios marcados como favoritos.

Você pode ajustar o tempo de vida de uma sessão e a frequência com que um conta de usuário gerenciada precisa ser reautenticado no IdP alterando a propriedade de política de tempo de vida dos tokens de ID emitidos para o GitHub do seu IdP. O tempo de vida padrão é de uma hora. Confira Configurar políticas de vida útil de token na documentação da Microsoft.

Para alterar a propriedade de política de vida útil, você precisará do ID de objeto associado ao OIDC do Enterprise Managed Users. Confira Como encontrar o ID de objeto para o aplicativo Entra OIDC.

Note

Se você precisar de ajuda para configurar a vida útil da sessão do OIDC, entre em contato com o Suporte da Microsoft.

Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para saber mais, confira Como migrar o SAML para o OIDC.

Warning

Se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.

Suporte do provedor de identidade

O suporte para OIDC está disponível para clientes que usam o Entra ID.

Cada locatário do Entra ID pode dar suporte a apenas uma integração OIDC com o Enterprise Managed Users. Se você quiser conectar o Entra ID a mais de uma empresa no GitHub, use o SAML em seu lugar. Confira Configurar o logon único SAML para usuários gerenciados pela empresa.

O OIDC não dá suporte à autenticação iniciada por IdP.

Como configurar o OIDC para usuários empresariais gerenciados

  1. Entre em GitHub como o usuário de configuração da nova empresa com o nome de usuário @SHORT-CODE_admin.

  2. No canto superior direito do GitHub, selecione sua foto de perfil e depois Sua empresa.

  3. No lado esquerdo da página, na barra lateral da conta corporativa, clique em Identity provider.

  4. Em Identity Provider, clique em Single sign-on configuration.

  5. Em "OIDC single sign-on", selecione Enable OIDC configuration.

  6. Para continuar a instalação e ser redirecionado para o Entra ID, clique em Salvar.

  7. Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Warning

    Você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  8. Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.

  9. Clique em Habilitar Autenticação OIDC.

Habilitando provisionamento

Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Confira Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa.

Habilitar colaboradores convidados

Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.

Para usar colaboradores convidados com autenticação OIDC, talvez seja necessário atualizar suas configurações no Entra ID. Confira Habilitar colaboradores convidados.