Note
O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).
Sobre o OIDC para usuários empresariais gerenciados
Com Enterprise Managed Users, sua empresa usa o IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OIDC (OpenID Connect) para gerenciar a autenticação do seu empresa com usuários gerenciados. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados pelo GitHub e pelo IdP.
Quando a sua empresa usar o SSO do OIDC, o GitHub usará automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros usarem a IU da Web ou alterarem os endereços IP e para cada autenticação com um personal access token ou uma chave SSH associada a uma conta de usuário. Confira “Sobre o suporte para a Política de Acesso Condicional do IdP”.
Note
A proteção de CAP para sessões da Web atualmente está em versão prévia pública e poderá ser alterada.
Se o suporte ao IdP CAP já estiver habilitado para sua empresa, você poderá optar pela proteção estendida para sessões da Web nas configurações de "Authentication security" da empresa. Para habilitar esse recurso, sua empresa deve ter 1.000 membros ou menos, ativos ou suspensos.
Você pode ajustar o tempo de vida de uma sessão e a frequência com que um conta de usuário gerenciada precisa ser reautenticado no IdP alterando a propriedade de política de tempo de vida dos tokens de ID emitidos para o GitHub do seu IdP. O tempo de vida padrão é de uma hora. Confira “Configurar políticas de vida útil de token” na documentação da Microsoft.
Para alterar a propriedade de política de vida útil, você precisará do ID de objeto associado ao OIDC do Enterprise Managed Users. Confira "Como encontrar o ID de objeto para o aplicativo Entra OIDC".
Note
Se você precisar de ajuda para configurar a vida útil da sessão do OIDC, entre em contato com o Suporte da Microsoft.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar o SAML para o OIDC".
Warning
Se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.
Suporte do provedor de identidade
O suporte para OIDC está disponível para clientes que usam o Entra ID.
Cada locatário do Entra ID pode dar suporte a apenas uma integração OIDC com o Enterprise Managed Users. Se você quiser conectar o Entra ID a mais de uma empresa no GitHub, use o SAML em seu lugar. Confira "Configurar o logon único SAML para usuários gerenciados pela empresa".
O OIDC não dá suporte à autenticação iniciada por IdP.
Como configurar o OIDC para usuários empresariais gerenciados
-
Entre em GitHub como o usuário de configuração da nova empresa com o nome de usuário @SHORT-CODE_admin.
-
No canto superior direito do GitHub, selecione sua foto de perfil e depois Sua empresa.
-
No lado esquerdo da página, na barra lateral da conta corporativa, clique em Identity provider.
-
Em Identity Provider, clique em Single sign-on configuration.
-
Em "OIDC single sign-on", selecione Enable OIDC configuration.
-
Para continuar a instalação e ser redirecionado para o Entra ID, clique em Salvar.
-
Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.
Warning
Você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).
-
Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".
-
Clique em Habilitar Autenticação OIDC.
Habilitando provisionamento
Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".
Habilitar colaboradores convidados
Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.
Para usar colaboradores convidados com autenticação OIDC, talvez seja necessário atualizar suas configurações no Entra ID. Confira "Habilitar colaboradores convidados".