Antes de seguir as etapas deste artigo, verifique se sua empresa usa contas pessoais. Você pode fazer isso verificando se sua visualização corporativa tem a barra de cabeçalho "Usuários gerenciados por NOME DA CONTA", na parte superior da tela.
Se você vir isso, sua empresa usa usuários gerenciados e você deve seguir um processo diferente para configurar o logon único SAML. Confira "Configurar o logon único SAML para usuários gerenciados pela empresa".
Sobre o SAML SSO
O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull.
Se você configurar o SSO do SAML, os membros de sua organização continuarão fazendo logon nas respectivas contas pessoais do GitHub.com. Quando um membro acessa a maioria dos recursos na sua organização, o GitHub o redireciona para seu IdP a fim de realizar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o membro novamente para o GitHub. Para obter mais informações, confira "Sobre a autenticação com logon único de SAML".
Nota: o SSO do SAML não substitui o processo de entrada normal do GitHub. A menos que você use Enterprise Managed Users, os membros continuarão a entrar em suas contas pessoais no GitHub.com e cada conta será vinculada a uma identidade externa em seu IdP.
Para obter mais informações, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML".
Os proprietários empresariais podem ativar o SAML SSO e autenticação centralizada através de um IdP de SAML em todas as organizações que pertencem a uma conta corporativa. Depois que você habilitar o SSO do SAML para a sua conta empresarial, o SSO do SAML será imposto em todas as organizações pertencentes à sua conta corporativa. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.
Para obter acesso aos recursos de cada organização no GitHub Enterprise Cloud, o membro deve ter uma sessão SAML ativa em seu Browser. Para obter acesso aos recursos protegidos de cada organização ao usar a API e o Git, o membro deve usar um personal access token ou uma chave SSH que tenha autorização para uso com a organização.. Os proprietários da empresa podem realizar a exibição e revogar a identidade vinculada, as sessões ativas ou as credenciais autorizadas de um membro a qualquer momento. Para saber mais, confira "Visualizar e gerenciar o acesso SAML de um usuário à sua empresa".
Observação: você não pode configurar o SCIM para sua conta corporativa, a menos que sua conta tenha sido criada para o Enterprise Managed Users. Para obter mais informações, confira "Sobre os Enterprise Managed Users".
Se você não usar Enterprise Managed Users e quiser usar o provisionamento SCIM, deverá configurar o SSO do SAML no nível da organização, não no nível da empresa. Para obter mais informações, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML".
Quando o SSO do SAML está desabilitado, todas a identidades externas vinculadas são removidas de GitHub Enterprise Cloud.
Depois de habilitar o SSO do SAML, as autorizações de OAuth app e GitHub App poderão precisar ser revogadas e reautorizadas para acessar a organização. Para obter mais informações, confira "Autorizar aplicativos OAuth".
Provedores de identidade compatíveis
GitHub Enterprise Cloud é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.
Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.
- Serviços de Federação do Active Directory (AD FS) da Microsoft
- Microsoft Entra ID (anteriormente conhecida como Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Para obter mais informações sobre como conectar o Microsoft Entra ID (o antigo Azure AD) à sua empresa, confira Tutorial: integração de SSO do Microsoft Entra com GitHub Enterprise Cloud – conta empresarial no Microsoft Docs.
Aplicar o logon único SAML para organizações na sua conta corporativa
Ao aplicar o logon único SAML SSO para sua empresa, a configuração corporativa substituirá todas as configurações do SAML existentes no nível da organização. Há considerações especiais ao habilitar o SSO do SAML para sua conta corporativa se uma das organizações pertencentes à conta corporativa já está configurada para usar o SSO do SAML. Para saber mais, confira "Alterando a configuração do SAML de uma organização para uma conta corporativa".
Ao aplicar o SAML SSO para uma organização, GitHub removerá todos os integrantes da organização que não tenham efetuado a autenticação com sucesso com seu IdP do SAML. Ao exigir o SAML SSO para a sua empresa, GitHub não irá remover os integrantes da empresa que não tenham efetuado a autenticação com sucesso com o IdP do SAML. Na próxima vez que um integrante acessar os recursos da empresa, ele deverá efetuar a autenticação com o seu IdP do SAML.
Para obter informações mais detalhadas sobre como habilitar ovar o SAML usando o Okta, confira "Configurar o logon único SAML para a sua empresa usando o Okta".
-
No canto superior direito do GitHub, selecione sua foto de perfil.
-
Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em Exibir as configurações atuais das suas organizações.
-
Em "Logon único do SAML", selecione Exigir autenticação SAML.
-
No campo URL de Logon, digite o ponto de extremidade HTTPS do IdP para solicitações de logon único. Esse valor está disponível na configuração do IdP.
-
Opcionalmente, no campo Emissor, digite a URL do emissor do SAML para verificar a autenticidade das mensagens enviadas.
-
Em Certificado Público, cole um certificado para verificar as respostas do SAML. Essa é a chave pública correspondente à chave privada usada para assinar respostas SAML.
Para localizar o certificado, consulte a documentação do seu IdP. Alguns IdPs chamam isso de certificado X.509.
-
Em seu certificado público, à direita dos métodos atuais de assinatura e resumo, clique em .
-
Selecione os menus suspensos Método de Assinatura e Método de Resumo, em seguida, clique no algoritmo de hash usado pelo seu emissor do SAML.
-
Antes de habilitar o SSO do SAML para sua empresa, a fim de garantir que as informações inseridas estejam corretas, clique em Testar configuração do SAML. Esse teste usa a autenticação iniciada pelo provedor de serviços (iniciada pelo SP) e deve ser bem-sucedida antes que você possa salvar as configurações de SAML.
-
Clique em Salvar.
-
Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".