Skip to main content

Configurando o OIDC para usuários gerenciados por empresas

Você pode gerenciar automaticamente o acesso à sua conta corporativa em GitHub configurando o Slogon único (SSO) do OpenID Connect (OIDC) e habilitar o suporte para a Política de Acesso Condicional (CAP) do seu IdP.

To manage users in your enterprise with your identity provider, your enterprise must be enabled for Enterprise Managed Users, which are available with GitHub Enterprise Cloud. Para obter mais informações, consulte "Sobre Enterprise Managed Users."

Note: OpenID Connect (OIDC) and Conditional Access Policy (CAP) support for Enterprise Managed Users is in public beta and only available for Azure AD.

Sobre o OIDC para usuários gerenciados pela empresa

Com Enterprise Managed Users, sua empresa usa seu provedor de identidade (IdP) para autenticar todos os integrantes. Você pode usar o OpenID Connect (OIDC) para gerenciar a autenticação para o seu enterprise with managed users. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados por GitHub e seu IdP.

When your enterprise uses OIDC SSO, GitHub will automatically use your IdP's conditional access policy (CAP) IP conditions to validate user interactions with GitHub, when members change IP addresses, and each time a personal access token or SSH key is used. Para obter mais informações, consulte "Sobre o suporte à política de acesso condicional do seu IdP."

Você pode ajustar a vida útil de uma sessão e quantas vezes um managed user account precisa efetuar a autenticação novamente com seu IdP, alterando a propriedade da política vitalícia dos tokens de ID emitidos para GitHub a partir do seu IdP. A vida útil padrão é de uma hora. Para obter mais informações, consulte "Vida útil do token configurável na plataforma de identidade Microsoft" na documentação do Azure AD.

Se você atualmente usa SAML SSO para autenticação e prefere usar OIDC e se beneficiar do suporte ao CAP, você pode seguir um caminho de migração. Para obter mais informações, consulte "Migrando do SAML para o OIDC."

Warning: If you use Importador do GitHub Enterprise to migrate an organization from sua instância do GitHub Enterprise Server, make sure to use a service account that is exempt from Azure AD's CAP otherwise your migration may be blocked.

Suporte do provedor de identidade

O suporte para OIDC está em beta público e disponível para clientes que utilizam o Azure Active Directory (Azure AD).

Cada inquilino do Azure AD pode suportar apenas uma integração do OIDC com Enterprise Managed Users. Se você quiser conectar Azure AD a mais de uma empresa em GitHub, use o SAML. Para obter mais informações, consulte "Configurando o logon único SAML para Enterprise Managed Users".

Configurando o OIDC para usuários gerenciados por empresas

  1. Efetue o login em GitHub.com como usuário de configuração da sua nova empresa com o nome de usuário @SHORT-CODE_admin.

  2. No canto superior direito de GitHub.com, clique na sua foto de perfil e, em seguida, clique em Suas empresas. "Suas empresas" no menu suspenso para a foto do perfil em GitHub Enterprise Cloud

  3. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  4. Na barra lateral da conta corporativa, clique em Settings. Aba de configurações na barra lateral de contas corporativas

  5. Na barra lateral esquerda, clique em Security (Segurança). Security tab in the enterprise account settings sidebar

  6. Selecione Exigir logon único do OIDC.
    Captura de tela que mostra a caixa de seleção "Exige um logon único do OIDC"

  7. Para continuar a configuração e ser redirecionado para O Azure AD, clique em Salvar.

  8. When redirected, sign in to your identity provider, then follow the instructions to give consent and install the GitHub Enterprise Managed User (OIDC) application.

    Warning: You must sign in to Azure AD as a user with global admin rights in order to consent to the installation of the GitHub Enterprise Managed User (OIDC) application.

  9. Para garantir que você ainda pode acessar a sua empresa no caso de o seu provedor de identidade ficar indisponível no futuro clique em Download, Imprimir ou Copiar para salvar seus códigos de recuperação. Para obter mais informações, consulte "Fazendo o download dos códigos de recuperação do logon único único da sua conta corporativa."

    Captura de tela dos botões para fazer o download, imprimir ou copiar seus códigos de recuperação

Habilitando o provisionamento

Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Para obter mais informações, consulte "Configurando o provisionamento de SCIM para usuários gerenciados pela empresa".