Note
O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).
Sobre o OIDC para usuários empresariais gerenciados
Com Enterprise Managed Users, sua empresa usa o IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OIDC (OpenID Connect) para gerenciar a autenticação do seu empresa com usuários gerenciados. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados pelo GitHub e pelo IdP.
Quando a sua empresa usar o SSO do OIDC, o GitHub usará automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros usarem a IU da Web ou alterarem os endereços IP e para cada autenticação com um personal access token ou uma chave SSH associada a uma conta de usuário. Confira “Sobre o suporte para a Política de Acesso Condicional do IdP”.
Você pode ajustar o tempo de vida de uma sessão e a frequência com que um conta de usuário gerenciada precisa ser reautenticado no IdP alterando a propriedade de política de tempo de vida dos tokens de ID emitidos para o GitHub do seu IdP. O tempo de vida padrão é de uma hora. Confira “Configurar políticas de vida útil de token” na documentação da Microsoft.
Para alterar a propriedade de política de vida útil, você precisará do ID de objeto associado ao OIDC do Enterprise Managed Users. Confira "Como encontrar o ID de objeto para o aplicativo Entra OIDC".
Note
Se você precisar de ajuda para configurar a vida útil da sessão do OIDC, entre em contato com o Suporte da Microsoft.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar o SAML para o OIDC".
Aviso: se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.
Suporte do provedor de identidade
O suporte para OIDC está disponível para clientes que usam o Entra ID.
Cada locatário do Entra ID pode dar suporte a apenas uma integração OIDC com o Enterprise Managed Users. Se você quiser conectar o Entra ID a mais de uma empresa no GitHub, use o SAML em seu lugar. Confira "Configurar o logon único SAML para usuários gerenciados pela empresa".
O OIDC não dá suporte à autenticação iniciada por IdP.
Como configurar o OIDC para usuários empresariais gerenciados
-
Entre em GitHub como o usuário de configuração da nova empresa com o nome de usuário @SHORT-CODE_admin.
-
In the top-right corner of GitHub, click your profile photo, then click Your enterprise.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "Logon único do OpenID Connect", selecione Exigir logon único do OIDC.
-
Para continuar a instalação e ser redirecionado para o Entra ID, clique em Salvar.
-
Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.
Aviso: você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).
-
Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".
-
Clique em Habilitar Autenticação OIDC.
Habilitando provisionamento
Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".
Habilitar colaboradores convidados
Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.
Para usar colaboradores convidados com autenticação OIDC, talvez seja necessário atualizar suas configurações no Entra ID. Confira "Habilitar colaboradores convidados".