Sobre o logon único SAML para contas corporativas
O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull. Os proprietários empresariais podem ativar o SAML SSO e autenticação centralizada através de um IdP de SAML em todas as organizações que pertencem a uma conta corporativa. Depois que você habilitar o SSO do SAML para a sua conta empresarial, o SSO do SAML será imposto em todas as organizações pertencentes à sua conta corporativa. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.
Há considerações especiais ao habilitar o SSO do SAML para sua conta corporativa se uma das organizações pertencentes à conta corporativa já está configurada para usar o SSO do SAML.
Ao configurar o SAML SSO no nível da organização, cada uma deverpa ser configurada com um inquilino de SSO único no seu IdP, o que significa que os seus integrantes serão associados a um registro de identidade do SAML único para cada organização com a qual tenham efetuado a autenticação com sucesso. Se você configurar o SAML SSO para a sua conta corporativa, cada integrante da empresa terá uma identidade do SAML utilizada para todas as organizações pertencentes à conta corporativa.
Depois de configurar o SAML SSO para a conta corporativa, a nova configuração irá substituir todas as configurações do SAML SSO existentes para as organizações pertencentes à conta corporativa. Todas as configurações de sincronização de equipe que você tiver configurado também serão removidas dessas organizações.
-
Os membros da sua organização serão removidos das equipes do GitHub após a remoção das configurações de sincronização de equipe da organização.
-
Se você pretende reativar a sincronização de equipe, antes de habilitar o SSO SAML para sua empresa, anote a configuração de sincronização de equipe atual nas organizações afetadas. Confira Gerenciando a sincronização da equipe para a sua organização.
Você precisará adicionar novamente os membros da sua organização às equipes do GitHub depois de reativar a sincronização da equipe.
-
Agende um horário para fazer alterações nas configurações de sincronização de equipe da sua organização quando as pessoas não estiverem usando ativamente os recursos da sua organização. Alterações na sincronização da equipe podem resultar em algum tempo de inatividade para seus membros.
Os integrantes da empresa não serão notificados quando um proprietário corporativo permitir o SAML para a conta corporativa. Se o SAML SSO foi aplicado anteriormente no nível da organização, os integrantes não deverão ver uma grande diferença ao acessar diretamente os recursos da organização. Continuará sendo solicitado que os integrantes efetuem a autenticação por meio do SAML. Se os membros acessarem os recursos da organização por meio do painel do IdP, eles deverão clicar na nova seção do aplicativo de nível corporativo, em vez de clicar na seção antiga para o aplicativo de nível da organização. Em seguida, os integrantes poderão escolher a organização a qual acessar.
Todos os personal access token, chaves SSH, OAuth apps e GitHub Apps que foram previamente autorizados para a organização continuarão autorizados para ela. No entanto, os integrantes deverão autorizar todos os PATs, chaves SSH, OAuth apps e GitHub Apps que nunca foram autorizados para uso com o SAML SSO para a organização.
O provisionamento do SCIM não é atualmente compatível quando o SAML SSO está configurado para uma conta corporativa. Se você estiver usando atualmente o SCIM para uma organização pertencente à sua conta corporativa, você perderá essa funcionalidade ao mudar para uma configuração de nível corporativo.
Não é necessário remover nenhuma configuração do SAML no nível da organização antes de configurar o SAML SSO para a sua conta corporativa, mas talvez você deva considerar fazer isso. Se o SAML for desabilitado para a conta corporativa no futuro, todas as configurações restantes do SAML entrarão em vigor. A remoção das configurações ao nível da organização pode evitar problemas inesperados no futuro.
Para saber mais sobre a decisão de implementar o SSO do SAML no nível da organização ou da empresa, confira Sobre o gerenciamento de identidades e acesso.
Alterando a configuração do SAML de uma organização para uma conta corporativa
- Aplique o SAML SSO na sua conta corporativa, certificando-se de que todos os integrantes da organização recebam o acesso ao aplicativo do IdP que está sendo usado para a conta corporativa. Para saber mais, confira Configurar o logon único SAML para sua empresa.
- Se você manteve as configurações do SAML no nível da organização, para evitar confusão, considere ocultar o botão para os aplicativos noe nível da organização no seu IdP.
- Informe os integrantes da sua empresa sobre a alteração.
- Os integrantes não poderão mais acessar as suas organizações clicando no aplicativo SAML para a organização no painel do IdP. Eles deverão usar o novo aplicativo configurado para a conta corporativa.
- Os integrantes deverão autorizar todos PATs ou chaves SSH que não tenham sido previamente autorizadas para uso com o SAML SSO para a sua organização. Para saber mais, confira Autorizar o uso de um token de acesso pessoal para uso com logon único SAML e Autorizar o uso de uma chave SSH para uso com logon único SAML.
- É possível que os integrantes tenham de reautorizar OAuth apps que foram autorizados anteriormente para a organização. Para saber mais, confira Sobre a autenticação com logon único de SAML.