Referência de configuração do SAML

Você pode ver os metadados do SAML para sua organização ou empresa e saber mais sobre os requisitos de resposta e atributos do SAML disponíveis.

Neste artigo

Sobre a configuração do SAML

Para usar o SSO (logon único) do SAML para autenticação no GitHub, você precisa configurar seu IdP (provedor de identidade) do SAML externo e sua empresa ou organização no GitHub. Em uma configuração do SAML, o GitHub funciona como um SP (provedor de serviços) do SAML. Para obter mais informações sobre autenticação para sua empresa, confira AUTOTITLE.

O GitHub fornece integração de acordo com a especificação SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Você deve inserir valores exclusivos do IdP do SAML ao configurar o SSO do SAML para o GitHub, e também deve inserir valores exclusivos do GitHub no seu IdP.

Metadados SAML

Os metadados do SP para o GitHub Enterprise Cloud estão disponíveis para organizações ou empresas com o SSO do SAML. O GitHub usa a vinculação.

Se você usar os Enterprise Managed Users, só poderá ativar o SSO do SAML no nível empresarial.

Organizações

Você pode configurar o SSO do SAML para uma organização individual em sua empresa. Você também pode configurar o SSO do SAML para uma organização se usar uma organização individual no GitHub Enterprise Cloud e não usar uma conta empresarial. Para saber mais, confira AUTOTITLE.

Os metadados do SP de uma organização no GitHub estão disponíveis em , em que ORGANIZATION é o nome da sua organização no GitHub.

ValorOutros nomesDescriçãoExemplo
ID da Entidade do SPURL do SharePoint, restrição de públicoO URL de nível superior da sua organização em GitHub.comhttps://github.com/orgs/ORGANIZATION
URL do Serviço do Consumidor de Declaração (ACS) do SPURL de resposta, destinatário ou destinoURL em que o IdP envia respostas do SAMLhttps://github.com/orgs/ORGANIZATION/saml/consume
URL de logon único (SSO) do SP
URL em que o IdP começa com SSOhttps://github.com/orgs/ORGANIZATION/sso

Empresas

Dependendo do ambiente, os metadados do SP de uma empresa no GitHub Enterprise Cloud ficam disponíveis em um destes locais:

  • , em que ENTERPRISE é o nome da sua empresa
  • , em que SUBDOMAIN é o subdomínio da sua empresa
ValorOutros nomesDescriçãoExemplo
ID da Entidade do SPURL do SharePoint, restrição de públicoA URL principal para sua empresa em GitHub.comhttps://github.com/enterprises/ENTERPRISE
URL do Serviço do Consumidor de Declaração (ACS) do SPURL de resposta, destinatário ou destinoURL em que o IdP envia respostas do SAMLhttps://github.com/enterprises/ENTERPRISE/saml/consume
URL de logon único (SSO) do SP
URL em que o IdP começa com SSOhttps://github.com/enterprises/ENTERPRISE/sso

Atributos SAML

Os atributos do SAML a seguir estão disponíveis para o GitHub.

NomeObrigatórioDescrição
NameIDIdentificador de usuário persistente. Qualquer formato de identificador de nome persistente pode ser usado. Se você usar uma empresa com os Enterprise Managed Users, o GitHub normalizará o elemento para utilizá-lo como nome de usuário, a menos que uma das afirmações alternativas seja fornecida. Para saber mais, confira AUTOTITLE.

É importante usar um identificador persistente e legível. O uso de um formato de identificador transitório como resultará na reconexão de contas em cada login, o que pode ser prejudicial ao gerenciamento de autorização.
SessionNotOnOrAfterA data em que o GitHub invalida a sessão associada. Após a invalidação, a pessoa deve se autenticar mais uma vez para acessar recursos da sua empresa. Para obter mais informações, confira Duração e tempo limite da sessão.
full_nameSe você configurar SAML SSO para uma empresa e usar Enterprise Managed Users, o nome completo do usuário será exibido na página de perfil do usuário.
emailsOs endereços de email do usuário. Se você sincronizar o uso de licença entre GitHub Enterprise Server e GitHub Enterprise Cloud, o GitHub Connect usará para identificar os usuários exclusivos em todos os produtos. Para saber mais, confira AUTOTITLE.
public_keysSe você configurar o SSO do SAML para uma empresa e usar Enterprise Managed Users, as chaves SSH públicas do usuário. Você pode especificar mais de uma chave.
gpg_keysSe você configurar o SSO do SAML para uma empresa e usar Enterprise Managed Users e as para o usuário. Você pode especificar mais de uma chave.

Para especificar mais de um valor para um atributo, use vários elementos .

<saml2:Attribute FriendlyName="public_keys" Name="urn:oid:1.2.840.113549.1.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
    <saml2:AttributeValue>ssh-rsa LONG KEY</saml2:AttributeValue>
    <saml2:AttributeValue>ssh-rsa LONG KEY 2</saml2:AttributeValue>
</saml2:Attribute>

Requisitos da resposta SAML

O GitHub exige que a mensagem de resposta do IdP atenda aos requisitos a seguir.

  • O seu IdP precisa fornecer o elemento no documento de resposta raiz e precisa corresponder à URL do ACS somente quando o documento de resposta raiz está assinado. Se o IdP assinar a declaração, o GitHub vai ignorar a declaração.

  • O IdP deve sempre fornecer o elemento <IDP_Specified_Tag> como parte do elemento <IDP_Specified_Tag>. O valor deve corresponder ao seu GitHub.

    • Se você configurar o SAML para uma organização, esse valor será .
    • Se você configurar o SAML para uma empresa, essa URL será ou .

  • Seu IdP deve fornecer na resposta uma única afirmação com uma assinatura digital. Para fazer isso, você pode assinar o elemento ou assinar o elemento .

  • Seu IdP deve fornecer um elemento como parte do elemento . Você pode usar qualquer formato de identificador de nome persistente.

  • Seu IdP deve incluir o atributo , que deve ser definido como a URL do ACS. O exemplo a seguir demonstra o atributo.

    <samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>...</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://github.com/enterprises/ENTERPRISE/saml/consume" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
    <saml:AttributeStatement>
      <saml:Attribute FriendlyName="USERNAME-ATTRIBUTE" ...>
        <saml:AttributeValue>monalisa</saml:AttributeValue>
      </saml:Attribute>
    </saml:AttributeStatement>
  </saml:Assertion>
</samlp:Response>

Duração e tempo limite da sessão

Para impedir que uma pessoa se autentique com seu IdP e mantenha-se autorizada por tempo indefinido, o GitHub invalida periodicamente a sessão para cada conta de usuário com acesso a recursos da sua empresa. Após a invalidação, a pessoa deve se autenticar com o IdP mais uma vez.

Por padrão, se o seu IdP não declara um valor para o atributo, o GitHub invalida uma sessão 24 horas após a autenticação com o IdP ser bem-sucedida.

O GitHub dará suporte a uma duração de sessão personalizada se o IdP fornecer a opção de configurar um atributo e um valor.

Se você definir um valor de duração de sessão personalizado menor que 24 horas, o GitHub poderá solicitar que as pessoas se autentiquem sempre que o GitHub iniciar um redirecionamento.

Para evitar erros de autenticação, recomendamos a duração mínima da sessão de quatro horas. Para saber mais, confira AUTOTITLE.

Observação

Microsoft Entra ID (anteriormente conhecido como Azure AD) ** não dá suporte ao atributo SessionNotOnOrAfter**. Além disso, a política de vida útil configurável para tokens SAML emitida pelo Entra ID não controla o tempo limite da sessão para o GitHub.