Skip to main content

Configuring SAML single sign-on for your enterprise

You can control and secure access to resources like repositories, issues, and pull requests within your enterprise's organizations by enforcing SAML single sign-on (SSO) through your identity provider (IdP).

Who can use this feature

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Observação: se a sua empresa usar os Enterprise Managed Users, você precisará seguir outro processo para configurar o logon único do SAML. Para obter mais informações, confira "Como configurar o logon único do SAML para os Usuários Gerenciados do Enterprise".

About SAML SSO

O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull.

Se você configurar o SSO do SAML, os membros de sua organização continuarão fazendo logon nas respectivas contas pessoais do GitHub.com. Quando um membro acessa a maioria dos recursos na sua organização, o GitHub o redireciona para seu IdP a fim de realizar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o membro novamente para o GitHub. Para obter mais informações, confira "Sobre a autenticação com o logon único do SAML".

Nota: o SSO do SAML não substitui o processo de entrada normal do GitHub. A menos que você use Enterprise Managed Users, os membros continuarão a entrar em suas contas pessoais no GitHub.com e cada conta será vinculada a uma identidade externa em seu IdP.

For more information, see "About identity and access management with SAML single sign-on."

Os proprietários empresariais podem ativar o SAML SSO e autenticação centralizada através de um IdP de SAML em todas as organizações que pertencem a uma conta corporativa. Depois que você habilitar o SSO do SAML para a sua conta empresarial, o SSO do SAML será imposto em todas as organizações pertencentes à sua conta corporativa. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.

To access each organization's resources on GitHub Enterprise Cloud, the member must have an active SAML session in their browser. To access each organization's protected resources using the API and Git, the member must use a personal access token or SSH key that the member has authorized for use with the organization. Enterprise owners can view and revoke a member's linked identity, active sessions, or authorized credentials at any time. For more information, see "Viewing and managing a user's SAML access to your enterprise account."

Quando o SSO do SAML está desabilitado, todas a identidades externas vinculadas são removidas de GitHub Enterprise Cloud.

After you enable SAML SSO, OAuth App and GitHub App authorizations may need to be revoked and reauthorized before they can access the organization. For more information, see "Authorizing OAuth Apps."

Supported identity providers

GitHub Enterprise Cloud é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS)
  • Active Directory do Azure (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Username considerations with SAML

If you use Enterprise Managed Users, GitHub Enterprise Cloud normalizes a value from your IdP to determine the username for each new personal account in your enterprise on GitHub.com. For more information, see "Username considerations for external authentication."

Enforcing SAML single-sign on for organizations in your enterprise account

When you enforce SAML SSO for your enterprise, the enterprise configuration will override any existing organization-level SAML configurations. Há considerações especiais ao habilitar o SSO do SAML para sua conta corporativa se uma das organizações pertencentes à conta corporativa já está configurada para usar o SSO do SAML. For more information, see "Switching your SAML configuration from an organization to an enterprise account."

When you enforce SAML SSO for an organization, GitHub removes any members of the organization that have not authenticated successfully with your SAML IdP. When you require SAML SSO for your enterprise, GitHub does not remove members of the enterprise that have not authenticated successfully with your SAML IdP. The next time a member accesses the enterprise's resources, the member must authenticate with your SAML IdP.

For more detailed information about how to enable SAML using Okta, see "Configuring SAML single sign-on for your enterprise account using Okta."

  1. No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas. "Suas empresas" no menu suspenso na foto de perfil no GitHub Enterprise Cloud

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Configurações. Guia Configurações na barra lateral das contas corporativas

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em Ver as configurações atuais das suas organizações. Link para visualizar a configuração de política atual para as organizações na empresa

  6. Under "SAML single sign-on", select Require SAML authentication. Checkbox for enabling SAML SSO

  7. In the Sign on URL field, type the HTTPS endpoint of your IdP for single sign-on requests. This value is available in your IdP configuration. Field for the URL that members will be forwarded to when signing in

  8. Optionally, in the Issuer field, type your SAML issuer URL to verify the authenticity of sent messages. Field for the SAML issuer's name

  9. Under Public Certificate, paste a certificate to verify SAML responses. Field for the public certificate from your identity provider

  10. To verify the integrity of the requests from your SAML issuer, click . Then in the "Signature Method" and "Digest Method" drop-downs, choose the hashing algorithm used by your SAML issuer. Drop-downs for the Signature Method and Digest method hashing algorithms used by your SAML issuer

  11. Before enabling SAML SSO for your enterprise, click Test SAML configuration to ensure that the information you've entered is correct. Button to test SAML configuration before enforcing

  12. Click Save.

  13. Para garantir que ainda possa acessar sua empresa caso seu provedor de identidade esteja indisponível no futuro, clique em Baixar, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como baixar os códigos de recuperação de logon único da conta empresarial".

    Captura de tela dos botões para fazer o download, imprimir ou copiar seus códigos de recuperação

Further reading