Configurar o logon único SAML para usuários gerenciados pela empresa

Pode gerenciar automaticamente o acesso à sua conta corporativa em GitHub configurando o logon único SAML (SSO) da Linguagem de Markup de Declaração de Segurança.

Quem pode usar esse recurso?

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira "Sobre os Enterprise Managed Users".

Neste artigo

Antes de seguir as etapas deste artigo, verifique se sua empresa usa usuários gerenciados. Você pode fazer isso verificando se sua visualização corporativa tem a barra de cabeçalho "Usuários gerenciados por NOME DA CONTA", na parte superior da tela. Se você vir isso, sua empresa usa usuários gerenciados e você pode seguir as etapas neste artigo.

Se sua empresa usa contas pessoais, você deve seguir um processo diferente para configurar o logon único SAML. Confira "Configurar o logon único SAML para sua empresa".

Sobre SAML SSO para Enterprise Managed Users

Com os Enterprise Managed Users, o acesso aos recursos da sua empresa no GitHub.com ou no GHE.com precisa ser autenticado por meio do IdP (provedor de identidade). Em vez de entrar com um nome de usuário e uma senha do GitHub, os membros da sua empresa se conectarão por meio do IdP.

Depois de configurar o SAML SSO, recomendamos armazenar seus códigos de recuperação para que você possa recuperar o acesso à sua empresa caso o seu provedor de identidade não esteja disponível.

Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar o SAML para o OIDC".

Pré-requisitos

  • Entenda os requisitos de integração e o nível de suporte do seu IdP.

    • O GitHub oferece uma integração de "caminho pavimentado" e suporte total se você usar um IdP de parceiro para autenticação e provisionamento.
    • Como alternativa, você pode usar qualquer sistema ou combinação de sistemas que esteja em conformidade com o SAML 2.0 e o SCIM 2.0. No entanto, o suporte para resolver problemas com esses sistemas pode ser limitado.

    Para saber mais, confira "Sobre os Enterprise Managed Users".

  • Seu provedor de identidade deve seguir a especificação SAML 2.0. Consulte a Wiki SAML no site da OASIS.

  • Você deve ter acesso administrativo de locatário ao seu IdP.

  • Se estiver configurando o SSO do SAML para uma nova empresa, certifique-se de concluir todas as etapas anteriores no processo de configuração inicial. Confira "Introdução aos Enterprise Managed Users".

Configure o SAML SSO para Enterprise Managed Users

Para configurar o SAML SSO para o seu empresa com usuários gerenciados, você deve configurar um aplicativo no seu provedor de identidade e depois configurar sua empresa no GitHub. Depois de configurar o SAML SSO, você poderá configurar o provisionamento de usuários.

  1. Configurar seu provedor de identidade
  2. Configurar sua empresa
  3. Habilitar o provisionamento

Configurar seu provedor de identidade

  1. Se você usar um IdP de parceiro, para instalar o aplicativo GitHub Enterprise Managed User, selecione o link para o IdP e o ambiente.

    Provedor de identidadeAplicativo para o GitHub.comAplicativo para o GHE.com
    Microsoft Entra IDGitHub Enterprise Managed UserGitHub Enterprise Managed User
    OktaGitHub Enterprise Managed UserGitHub Enterprise Managed User – ghe.com
    PingFederateSite de downloads do PingFederate (navegue até a guia Complementos e selecione GitHub EMU Connector 1.0)Site de downloads do PingFederate (navegue até a guia Complementos e selecione GitHub EMU Connector 1.0)

  2. Para configurar o SSO do SAML para os Enterprise Managed Users em um IdP de parceiro, leia a documentação relevante do IdP e do ambiente.

    Provedor de identidadeDocumentação do GitHub.comDocumentação do GHE.com
    Microsoft Entra IDMicrosoft LearnMicrosoft Learn
    Okta"Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa""Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa"
    PingFederateConfigurar autenticação e provisionamento com PingFederate” (seções “Pré-requisitos” e “1. Configurar o SAML”)Configurar autenticação e provisionamento com PingFederate” (seções “Pré-requisitos” e “1. Configurar o SAML”)

    Como alternativa, se você não usar um IdP de parceiro, use a referência de configuração do SAML para o GitHub Enterprise Cloud para criar e configurar um aplicativo SAML 2.0 genérico no IdP. Confira "Referência de configuração do SAML".

  3. Para testar e configurar sua empresa, atribua a você mesmo ou ao usuário que vai configurar o SAML SSO para sua empresa no GitHub para o aplicativo que você configurou para o Enterprise Managed Users em seu provedor de identidade.

    Note

    Para testar uma conexão de autenticação bem-sucedida na configuração, pelo menos um usuário deve ser atribuído ao IdP.

  4. Para continuar a configurar sua empresa no GitHub, localize e anote as informações a seguir do aplicativo que você instalou no seu provedor de identidade.

    ValorOutros nomesDescrição
    IdP Sign-On URLLogin URL, IdP URLURL do aplicativo no seu IdP
    IdP Identifier URLEmissorIdentificador de o IdP para prestadores de serviço para autenticação do SAML
    Certificado de assinatura, codificado em Base64Certificado públicoCertificado público que o IdP usa para assinar solicitações de autenticação

Configurar sua empresa

Depois de configurar o SAML SSO para o Enterprise Managed Users em seu provedor de identidade, você poderá configurar sua empresa no GitHub.

Após a configuração inicial do SAML SSO, a única configuração que você pode atualizar no GitHub para sua configuração SAML existente é o certificado SAML. Se você precisar atualizar a URL de logon ou do emissor, primeiro desabilite o SAML SSO e, em seguida, redefina-o com as novas configurações. Para obter mais informações, confira "Desabilitar a autenticação e o provisionamento em Enterprise Managed Users".

  1. Entre como o usuário de instalação da sua empresa com o nome de usuário SHORT-CODE_admin, substituindo SHORT-CODE pelo código curto da sua empresa.

    Nota: Caso precise redefinir a senha para o usuário de instalação, entre em contato com o Suporte do GitHub por meio do Portal de Suporte do GitHub. A opção usual de redefinição de senha, fornecendo seu email, não funcionará.

    1. In the top-right corner of GitHub, click your profile photo, then click **Your enterprise**.

  2. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  3. Em Configurações, clique em Segurança da autenticação.

  4. Em "Logon único do SAML", selecione Exigir autenticação SAML.

  5. Na URL de logon, digite o ponto de extremidade HTTPS do seu provedor de identidade para as solicitações de SSO que você anotou ao configurar o provedor.

  6. No Emissor, digite a URL do emissor do SAML que você anotou ao configurar o IdP para verificar a autenticidade das mensagens enviadas.

  7. Em Certificado Público, cole o certificado que você anotou ao configurar seu IdP para verificar as respostas SAML.

  8. Em seu certificado público, à direita dos métodos atuais de assinatura e resumo, clique em .

    Captura de tela do método de assinatura atual e do método de resumo nas configurações do SAML. O ícone de lápis é realçado com um contorno laranja.

  9. Selecione os menus suspensos Método de Assinatura e Método de Resumo, em seguida, clique no algoritmo de hash usado pelo seu emissor do SAML.

  10. Antes de habilitar o SSO do SAML para sua empresa, a fim de garantir que as informações inseridas estejam corretas, clique em Testar configuração do SAML. Esse teste usa a autenticação iniciada pelo provedor de serviços (iniciada pelo SP) e deve ser bem-sucedida antes que você possa salvar as configurações de SAML.

  11. Clique em Salvar.

    Nota: depois de exigir o SSO do SAML para sua empresa e salvar as configurações do SAML, o usuário de configuração continuará a ter acesso à empresa e permanecerá conectado ao GitHub junto com o contas de usuário gerenciadas provisionado pelo seu IdP, que também terá acesso à empresa.

  12. Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

Habilitar o provisionamento

Depois que você habilitar o SAML SSO, habilite o provisionamento. Para obter mais informações, confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".

Habilitar colaboradores convidados

Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.

Se você usar o Entra ID ou o Okta para autenticação SAML, talvez seja necessário atualizar seu aplicativo de IdP para usar colaboradores convidados. Para obter mais informações, confira "Habilitar colaboradores convidados".