Configuring SAML single sign-on for your enterprise

You can control and secure access to resources like repositories, issues, and pull requests within your enterprise's organizations by enforcing SAML single sign-on (SSO) through your identity provider (IdP).

Quem pode usar esse recurso?

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Neste artigo

Observação: se a sua empresa usar os Enterprise Managed Users, você precisará seguir outro processo para configurar o logon único do SAML. Para obter mais informações, confira "Configurar o logon único SAML para usuários gerenciados pela empresa".

About SAML SSO

O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull.

Se você configurar o SSO do SAML, os membros de sua organização continuarão fazendo logon nas respectivas contas pessoais do GitHub.com. Quando um membro acessa a maioria dos recursos na sua organização, o GitHub o redireciona para seu IdP a fim de realizar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o membro novamente para o GitHub. Para obter mais informações, confira "Sobre a autenticação com logon único de SAML".

Nota: o SSO do SAML não substitui o processo de entrada normal do GitHub. A menos que você use Enterprise Managed Users, os membros continuarão a entrar em suas contas pessoais no GitHub.com e cada conta será vinculada a uma identidade externa em seu IdP.

For more information, see "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML."

Os proprietários empresariais podem ativar o SAML SSO e autenticação centralizada através de um IdP de SAML em todas as organizações que pertencem a uma conta corporativa. Depois que você habilitar o SSO do SAML para a sua conta empresarial, o SSO do SAML será imposto em todas as organizações pertencentes à sua conta corporativa. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.

Para acessar os recursos de cada organização em GitHub Enterprise Cloud, o integrante deve ter uma sessão SAML ativa no navegador. Para acessar os recursos protegidos de cada organização usando a API e o Git, o membro deve usar um personal access token ou uma chave SSH que tenha autorização da organização para usar. Os proprietários da empresa podem ver e revogar a identidade vinculada de um integrante, sessões ativas ou credenciais autorizadas a qualquer momento. For more information, see "Visualizar e gerenciar o acesso SAML de um usuário à sua empresa."

Observação: você não pode configurar o SCIM para sua conta corporativa, a menos que sua conta tenha sido criada para o Enterprise Managed Users. Para obter mais informações, confira "Sobre os Enterprise Managed Users".

Se você não usar Enterprise Managed Users e quiser usar o provisionamento SCIM, deverá configurar o SSO do SAML no nível da organização, não no nível da empresa. Para obter mais informações, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML".

Quando o SSO do SAML está desabilitado, todas a identidades externas vinculadas são removidas de GitHub Enterprise Cloud.

Depois de habilitar o SSO do SAML, as autorizações de OAuth app e GitHub App poderão precisar ser revogadas e reautorizadas para acessar a organização. Para obter mais informações, confira "Autorizar aplicativos OAuth".

Supported identity providers

GitHub Enterprise Cloud é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS) da Microsoft
  • Microsoft Entra ID (anteriormente conhecida como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

For more information about connecting Microsoft Entra ID (previously known as Azure AD) to your enterprise, see Tutorial: Microsoft Entra SSO integration with GitHub Enterprise Cloud - Enterprise Account in Microsoft Docs.

Enforcing SAML single-sign on for organizations in your enterprise account

When you enforce SAML SSO for your enterprise, the enterprise configuration will override any existing organization-level SAML configurations. Há considerações especiais ao habilitar o SSO do SAML para sua conta corporativa se uma das organizações pertencentes à conta corporativa já está configurada para usar o SSO do SAML. For more information, see "Alterando a configuração do SAML de uma organização para uma conta corporativa."

When you enforce SAML SSO for an organization, GitHub removes any members of the organization that have not authenticated successfully with your SAML IdP. When you require SAML SSO for your enterprise, GitHub does not remove members of the enterprise that have not authenticated successfully with your SAML IdP. The next time a member accesses the enterprise's resources, the member must authenticate with your SAML IdP.

For more detailed information about how to enable SAML using Okta, see "Configurar o logon único SAML para a sua empresa usando o Okta."

  1. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Na barra lateral da conta corporativa, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em Exibir as configurações atuais das suas organizações.

    Captura de tela de uma política nas configurações da empresa. Um link, rotulado como "Exibir as configurações atuais das suas organizações", está realçado com uma estrutura de tópicos laranja.

  6. Under "SAML single sign-on", select Require SAML authentication.

  7. In the Sign on URL field, type the HTTPS endpoint of your IdP for single sign-on requests. This value is available in your IdP configuration.

  8. Optionally, in the Issuer field, type your SAML issuer URL to verify the authenticity of sent messages.

  9. Under Public Certificate, paste a certificate to verify SAML responses. This is the public key corresponding to the private key used to sign SAML responses.

    To find the certificate, refer to the documentation for your IdP. Some IdPs call this an X.509 certificate.

  10. Em seu certificado público, à direita dos métodos atuais de assinatura e resumo, clique em .

    Captura de tela do método de assinatura atual e do método de resumo nas configurações do SAML. O ícone de lápis é realçado com um contorno laranja.

  11. Selecione os menus suspensos Método de Assinatura e Método de Resumo, em seguida, clique no algoritmo de hash usado pelo seu emissor do SAML.

  12. Before enabling SAML SSO for your enterprise, to ensure that the information you've entered is correct, click Test SAML configuration . Esse teste usa a autenticação iniciada pelo provedor de serviços (iniciada pelo SP) e deve ser bem-sucedida antes que você possa salvar as configurações de SAML.

  13. Click Save.

  14. Para garantir que você ainda possa acessar sua empresa no GitHub.com se o seu IdP não estiver disponível no futuro, clique em Baixar, Imprimir ou Copiar para salvar seus códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

Further reading