Skip to main content

Configurar o logon único SAML para sua empresa

Você pode controlar e proteger o acesso a recursos, como repositórios, problemas e solicitações de pull nas organizações da empresa com a imposição do SSO (logon único) do SAML por meio do IdP (provedor de identidade).

Who can use this feature

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Observação: se a sua empresa usar os Enterprise Managed Users, você precisará seguir outro processo para configurar o logon único do SAML. Para obter mais informações, confira "Como configurar o logon único do SAML para os Usuários Gerenciados do Enterprise".

Sobre o SAML SSO

O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull.

Se você configurar o SSO do SAML, os membros de sua organização continuarão fazendo logon nas respectivas contas pessoais do GitHub.com. Quando um membro acessa a maioria dos recursos na sua organização, o GitHub o redireciona para seu IdP a fim de realizar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o membro novamente para o GitHub. Para obter mais informações, confira "Sobre a autenticação com o logon único do SAML".

Nota: o SSO do SAML não substitui o processo de entrada normal do GitHub. A menos que você use Enterprise Managed Users, os membros continuarão a entrar em suas contas pessoais no GitHub.com e cada conta será vinculada a uma identidade externa em seu IdP.

Para obter mais informações, confira "Sobre o gerenciamento de identidades e acesso com o logon único do SAML".

Os proprietários empresariais podem ativar o SAML SSO e autenticação centralizada através de um IdP de SAML em todas as organizações que pertencem a uma conta corporativa. Depois que você habilitar o SSO do SAML para a sua conta empresarial, o SSO do SAML será imposto em todas as organizações pertencentes à sua conta corporativa. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.

Para acessar os recursos de cada organização em GitHub Enterprise Cloud, o integrante deve ter uma sessão SAML ativa no navegador. Para acessar os recursos protegidos de cada organização usando a API e o Git, o membro deve usar um personal access token ou uma chave SSH que tenha autorização da organização para usar. Os proprietários da empresa podem ver e revogar a identidade vinculada de um integrante, sessões ativas ou credenciais autorizadas a qualquer momento. Para obter mais informações, confira "Como ver e gerenciar o acesso do SAML de um usuário à sua conta corporativa".

Quando o SSO do SAML está desabilitado, todas a identidades externas vinculadas são removidas de GitHub Enterprise Cloud.

Depois de habilitar o SSO do SAML, as autorizações de OAuth App e GitHub App poderão precisar ser revogadas e reautorizadas para acessar a organização. Para obter mais informações, confira "Autorização do OAuth Apps".

Provedores de identidade compatíveis

GitHub Enterprise Cloud é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS)
  • Active Directory do Azure (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Considerações de nome de usuário no SAML

Se você usar Enterprise Managed Users, O GitHub Enterprise Cloud normaliza um valor do IdP para determinar o nome de usuário de cada nova conta pessoal na sua empresa no GitHub.com. Para obter mais informações, confira "Considerações de nome de usuário para autenticação externa".

Aplicar o logon único SAML para organizações na sua conta corporativa

Ao aplicar o logon único SAML SSO para sua empresa, a configuração corporativa substituirá todas as configurações do SAML existentes no nível da organização. Há considerações especiais ao habilitar o SSO do SAML para sua conta corporativa se uma das organizações pertencentes à conta corporativa já está configurada para usar o SSO do SAML. Para obter mais informações, confira "Como alternar a configuração do SAML de uma organização para uma conta corporativa".

Ao aplicar o SAML SSO para uma organização, GitHub removerá todos os integrantes da organização que não tenham efetuado a autenticação com sucesso com seu IdP do SAML. Ao exigir o SAML SSO para a sua empresa, GitHub não irá remover os integrantes da empresa que não tenham efetuado a autenticação com sucesso com o IdP do SAML. Na próxima vez que um integrante acessar os recursos da empresa, ele deverá efetuar a autenticação com o seu IdP do SAML.

Para obter informações mais detalhadas sobre como habilitar o SAML usando o Okta, confira "Como configurar o logon único do SAML para sua conta corporativa usando o Okta".

  1. No canto superior direito do GitHub.com, clique na foto do seu perfil e em Suas empresas. "Suas empresas" no menu suspenso na foto de perfil no GitHub Enterprise Cloud

  2. Na lista de empresas, clique na empresa que você deseja visualizar. Nome de uma empresa na lista das suas empresas

  3. Na barra lateral da conta corporativa, clique em Configurações. Guia Configurações na barra lateral das contas corporativas

  4. Na barra lateral esquerda, clique em Segurança de autenticação. Guia Segurança na barra lateral das configurações da conta corporativa

  5. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em Ver as configurações atuais das suas organizações. Link para visualizar a configuração de política atual para as organizações na empresa

  6. Em "Logon único do SAML", selecione Exigir autenticação SAML. Caixa de seleção para habilitar o SSO do SAML

  7. No campo URL de Logon, digite o ponto de extremidade HTTPS do IdP para solicitações de logon único. Esse valor está disponível na configuração do IdP. Campo referente à URL para a qual os membros serão encaminhados após a entrada

  8. Opcionalmente, no campo Emissor, digite a URL do emissor do SAML para verificar a autenticidade das mensagens enviadas. Campo referente ao nome do emissor do SAML

  9. Em Certificado Público, cole um certificado para verificar as respostas do SAML. Campo referente ao certificado público do provedor de identidade

  10. Para verificar a integridade das solicitações do emissor do SAML, clique em . Em seguida, no menu suspenso "Método de assinatura" e "Método de resumo", escolha o algoritmo de hashing usado pelo seu emissor do SAML. Menus suspensos dos algoritmos de hash Método de Assinatura e Método de resumo usados pelo emissor do SAML

  11. Antes de habilitar o SSO do SAML para sua empresa, clique em Testar configuração do SAML para garantir que as informações que você inseriu estão corretas. Botão usado para testar a configuração do SAML antes da imposição

  12. Clique em Salvar.

  13. Para garantir que ainda possa acessar sua empresa caso seu provedor de identidade esteja indisponível no futuro, clique em Baixar, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como baixar os códigos de recuperação de logon único da conta empresarial".

    Captura de tela dos botões para fazer o download, imprimir ou copiar seus códigos de recuperação

Leitura adicional