Com os Enterprise Managed Users, você gerencia o ciclo de vida e a autenticação dos seus usuários em GitHub.com em um sistema de gerenciamento de identidades externo ou IdP:
- Seu IdP fornece às novas contas de usuário acesso à sua empresa em GitHub.
- Os usuários precisam se autenticar no seu IdP para acessar os recursos da sua empresa em GitHub.
- Você controla nomes de usuários, dados de perfil, subscrições à organização e acesso a repositórios das contas de usuário no IdP.
- Se sua empresa usar o SSO do OIDC, o GitHub validará o acesso à sua empresa e aos seus recursos usando a CAP (Política de Acesso Condicional) do IdP. Confira "About support for your IdP's Conditional Access Policy".
- Contas de usuário gerenciadas não pode criar conteúdo público ou colaborar fora da sua empresa. Confira "Capacidades e restrições de contas de usuários gerenciados".
Note
Enterprise Managed Users não é a melhor solução para todos os clientes. Para determinar se ele é adequado para sua empresa, confira “Escolher um tipo de empresa para o GitHub Enterprise Cloud”.
Sistemas de gerenciamento de identidades
A GitHub faz parceria com alguns desenvolvedores de sistemas de gerenciamento de identidades para fornecer uma integração simplificada com o Enterprise Managed Users. Para simplificar sua configuração e garantir suporte total, use um único IdP parceiro para autenticação e provisionamento.
Provedores de identidade de parceiros
Os IdPs de parceiros fornecem autenticação usando SAML ou OIDC e fornecem provisionamento com o SCIM (Sistema de Gerenciamento de Usuários entre Domínios).
| IdP do parceiro | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
Quando você usa um IdP de parceiro único para autenticação e provisionamento, o GitHub fornece suporte para o aplicativo no IdP do parceiro, além da integração do IdP ao GitHub.
Outros sistemas de gerenciamento de identidades
Se você não puder usar um IdP de parceiro para autenticação e provisionamento, poderá usar outro sistema de gerenciamento de identidades ou uma combinação de sistemas. O sistema deverá:
- Seguir as diretrizes de integração de GitHub
- Fornecer autenticação usando SAML, atendendo à especificação SAML 2.0
- Fornecer gerenciamento do ciclo de vida do usuário usando SCIM, atendendo à especificação SCIM 2.0 e comunicando-se com a API REST de GitHub (confira “Provisionar usuários e grupos com SCIM usando a API REST”)
Note
O provisionamento de usuários com o esquema do SCIM público do GitHub está em versão beta pública e sujeito a alterações.
O GitHub não oferece suporte expresso à mistura e à combinação de IdPs de parceiros para autenticação e provisionamento e não testa todos os sistemas de gerenciamento de identidades. A equipe de suporte do GitHub talvez não consiga ajudar você em problemas relacionados a sistemas misturados ou não testados. Se você precisar de ajuda, consulte a documentação do sistema, a equipe de suporte ou outros recursos.
Nome de usuário e informações de perfil
O GitHub cria automaticamente um nome de usuário para cada desenvolvedor ao normalizar um identificador fornecido pelo IdP. Poderá ocorrer um conflito se as partes exclusivas do identificador forem removidas durante a normalização. Confira "Considerações de nome de usuário para autenticação externa".
O nome do perfil e o end. email de um conta de usuário gerenciada é fornecido pelo IdP:
- O Contas de usuário gerenciadas não pode alterar o nome do perfil nem o end. email no GitHub.
- O IdP só pode fornecer um end. email.
- Alterar o end. email de um usuário no IdP desvinculará o usuário do histórico de contribuições associado ao end. email antigo.
Como gerenciar funções e acesso
No IdP, você pode dar a cada conta de usuário gerenciada uma função na sua empresa, como membro, proprietário ou colaborador convidado. Confira "Funções em uma empresa".
As subscrições da organização (e o acesso ao repositório) podem ser gerenciadas manualmente ou você pode atualizá-las automaticamente usando grupos do IdP. Confira "Gerenciando associações de equipes com grupos de provedores de identidade".
Autenticação para contas de usuário gerenciadas
Os locais onde contas de usuário gerenciadas podem se autenticar em GitHub dependem de como você configura a autenticação (SAML ou OIDC). Confira "Efetuar a autenticação com Enterprise Managed Users".
Por padrão, quando um usuário não autenticado tenta acessar sua empresa, o GitHub exibe um erro 404. Você pode, opcionalmente, habilitar redirecionamentos automáticos para SSO (logon único). Confira "Aplicando políticas para configurações de segurança na sua empresa".