Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para Azure AD.
Sobre o OIDC para usuários empresariais gerenciados
Com Enterprise Managed Users, sua empresa usa o IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OIDC (OpenID Connect) para gerenciar a autenticação do seu enterprise with managed users. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados pelo GitHub e pelo IdP.
Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações do usuário com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é usado. Para obter mais informações, confira "Sobre o suporte à política de acesso condicional do IdP".
Você pode ajustar o tempo de vida de uma sessão e a frequência com que um managed user account precisa ser reautenticado no IdP alterando a propriedade de política de tempo de vida dos tokens de ID emitidos para o GitHub do seu IdP. O tempo de vida padrão é de uma hora. Para obter mais informações, confira "Tempos de vida de token configuráveis na plataforma de identidade da Microsoft" na documentação do Azure AD.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar do SAML para o OICD".
Aviso: se você usar o GitHub Enterprise Importer para migrar uma organização do your GitHub Enterprise Server instance, use uma conta de serviço isenta do CAP do Azure AD, caso contrário, a migração poderá ser bloqueada.
Suporte do provedor de identidade
O suporte ao OIDC está disponível para clientes que usam o Azure AD (Azure Active Directory).
Cada locatário do Azure AD pode dar suporte a apenas uma integração do OIDC com Enterprise Managed Users. Se você quiser conectar o Azure AD a mais de uma empresa no GitHub, use o SAML. Para saber mais, confira "Como configurar o logon único do SAML para Enterprise Managed Users".
Como configurar o OIDC para usuários empresariais gerenciados
-
Entre no GitHub.com como o usuário de instalação para sua nova empresa com o nome de usuário @SHORT-CODE_admin.
-
No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança de autenticação.
-
Selecione Exigir logon único do OIDC.
-
Para continuar a instalação e ser redirecionado ao Azure AD, clique em Salvar.
-
Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Azure AD solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.
Aviso: você precisa entrar no Azure AD como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).
Habilitando provisionamento
Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Para obter mais informações, confira "Como configurar o provisionamento do SCIM para os usuários gerenciados corporativos".