Sobre a autenticação com o logon único

Você pode acessar uma organização que usa SSO fazendo a autenticação por meio de um provedor de identidade (IdP, Identity Provider).

Neste artigo

Sobre a autenticação com o SSO

Com o SSO (logon único) do SAML, os proprietários da organização ou da empresa podem controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e pull requests. Os proprietários da organização podem convidar sua conta pessoal no GitHub para ingressar na organização deles que usa o SSO, o que permitirá a você colaborar com a organização e manter sua identidade e colaborações existentes no GitHub.

O acesso a recursos protegidos do internal por SSO em uma empresa, como repositórios, projetos e pacotes, requer uma sessão de SSO para qualquer organização na empresa. Isso permite compartilhar código e trabalho entre organizações em uma empresa sem que os usuários ingressem em cada organização.

Se você for integrante de um empresa com usuários gerenciados, você usará uma nova conta que lhe será fornecida e controlada pela sua empresa. Para saber mais, confira Tipos de contas do GitHub.

Ao tentar acessar a maioria dos recursos em uma organização que usa SSO, GitHub vai redirecionar você para o IdP (provedor de identidade) de SSO da organização para que efetue a\ autenticação. Depois de efetuar a autenticação com sucesso com sua conta no IdP, este irá redirecionar você de volta para GitHub, onde você poderá acessar os recursos da organização.

A autenticação IdP não é necessária para acessar repositórios públicos de determinadas maneiras:

  • Como exibir a página de visão geral do repositório e o conteúdo do arquivo em GitHub
  • Como bifurcar o repositório
  • Como executar operações de leitura por meio do Git, como clonar o repositório

A autenticação é necessária para outro acesso a repositórios públicos, como exibição de problemas, solicitações de pull, projetos e versões.

Observação

A autenticação SAML não é necessária para colaboradores externos. Para saber mais sobre colaboradores externos, confira Funções em uma organização.

Se você efetuou a autenticação recentemente com o IdP SAML da sua organização no navegador, você estará automaticamente autorizado ao acessar uma organização do GitHub que usa SAML SSO. Se não tiver efetuado a autenticação recentemente com o IdP SAML da sua organização no navegador, você deverá efetuar a autenticação no SAML IdP antes de acessar a organização.

Você precisa se autenticar periodicamente no IdP do SAML para se autenticar e obter acesso aos recursos da organização no GitHub. A duração desse período de login é especificado pelo seu IdP e geralmente é de 24 horas. Esse requisito de login periódico limita a duração do acesso e exige que você identifique-se novamente para continuar. Você pode ver e gerenciar suas sessões ativas do SAML nas configurações de segurança. Para saber mais, confira Como visualizar e gerenciar suas sessões de SSO ativas.

Identidades externas vinculadas

Quando você se autenticar com sua conta IdP e retornar para GitHub, GitHub registrará um link na organização ou empresa entre sua conta pessoal do GitHub e a identidade externa na qual você se conectou. Essa identidade vinculada é usada para validar sua associação nessa organização e, dependendo de sua organização ou configuração empresarial, também é usada para determinar de quais organizações e equipes você também é membro. Cada conta do GitHub pode ser vinculada a exatamente uma identidade externa por organização. Da mesma forma, cada identidade externa pode ser vinculada a exatamente uma conta do GitHub em uma organização.

Se você entrar com uma identidade externa que já esteja vinculada a outra conta do GitHub, receberá uma mensagem de erro indicando que você não pode entrar com essa identidade. Essa situação poderá ocorrer se você estiver tentando usar uma nova conta do GitHub para trabalhar dentro da sua organização. Se você não pretende usar essa identidade externa com essa conta do GitHub, precisará sair dessa identidade externa e repetir o logon por SSO. Se você quiser usar essa identidade externa com sua conta do GitHub, precisará pedir ao administrador para desvincular sua identidade externa de sua conta antiga, para que possa vinculá-la à sua nova conta. Dependendo da configuração da sua organização ou empresa, o administrador também pode precisar reatribuir sua identidade em seu provedor de identidade. Para saber mais, confira Exibir e gerenciar o acesso SAML de um membro à organização.

Se a identidade externa com a qual você se conecta não corresponder à identidade externa que está vinculada atualmente à sua conta do GitHub, você receberá um aviso de que está prestes a vincular novamente sua conta. Como sua identidade externa é usada para controlar o acesso e a associação de equipe, continuar com a nova identidade externa poderá fazer com que você perca o acesso a equipes e organizações dentro de GitHub. Continue apenas se souber que deve usar essa nova identidade externa para autenticação no futuro.

Como autorizar personal access tokens e chaves SSH com SSO

Para usar a API ou Git na linha de comando de modo a acessar conteúdo protegido em uma organização que usa SSO, você precisará usar um personal access token autorizado por HTTPS ou uma chave SSH autorizada.

Se você não tem uma chave personal access token ou SSH, pode criar uma personal access token para a linha de comando ou gerar uma nova chave SSH. Para saber mais, confira Gerenciar seus tokens de acesso pessoal ou Gerando uma nova chave SSH e adicionando-a ao agente SSH.

Para usar um personal access token novo ou existente ou chave SSH com uma organização que usa ou impõe o SSO, você precisará autorizar o token ou autorizar a chave SSH para uso com a organização. Para saber mais, confira Como autorizar um token de acesso pessoal para uso com logon único ou Como autorizar uma chave SSH para uso com logon único.

Sobre o OAuth apps, GitHub Apps e SSO

Você deverá ter uma sessão do SSO ativa toda vez que autoriza um OAuth app ou GitHub App para acessar uma organização que use ou aplique o SSO. Se você não tiver uma sessão ativa para uma organização que exija SSO ao entrar no aplicativo, o aplicativo não poderá acessar essa organização. Você pode criar uma sessão de SSO ativa ao acessar https://github.com/orgs/ORGANIZATION-NAME/sso ou https://github.com/enterprises/ENTERPRISE-NAME/sso no navegador.

Depois que um proprietário da empresa ou organização habilitar ou impuser o SSO a uma organização e, depois que se autenticar via SSO pela primeira vez, você deverá reautorizar todos os OAuth apps ou GitHub Apps autorizados anteriormente para acessar a organização.

Para ver os OAuth apps que você autorizou, visite sua página dos OAuth apps. Para ver os GitHub Apps que você autorizou, visite sua página dos GitHub Apps.

Para saber mais, confira SAML e aplicativos GitHub.

Leitura adicional