Skip to main content

Sobre o gerenciamento de identidades e de acesso com o logon único do SAML

Se você gerencia centralmente as identidades e aplicativos dos seus usuários com um provedor de identidade (IdP), você pode configurar o Logon Único (SSO) da Linguagem de Markup de Declaração de Segurança (SAML) para proteger os recursos da sua organização em GitHub.

Observação: para usar o logon único do SAML, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira "Como configurar uma avaliação do GitHub Enterprise Cloud".

Sobre o SAML SSO

O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull.

Se você configurar o SSO do SAML, os membros de sua organização continuarão fazendo logon nas respectivas contas pessoais do GitHub.com. Quando um membro acessa recursos que não são públicos na sua organização, o GitHub o redireciona para seu IdP a fim de realizar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o membro novamente para o GitHub. Para obter mais informações, confira "Sobre a autenticação com o logon único do SAML".

Nota: o SSO do SAML não substitui o processo de entrada normal do GitHub. A menos que você use Enterprise Managed Users, os membros continuarão a entrar em suas contas pessoais no GitHub.com e cada conta será vinculada a uma identidade externa em seu IdP.

Os proprietários da organização podem aplicar o SSO do SAML para uma organização individual ou os proprietários corporativos podem aplicar o SSO do SAML para todas as organizações em uma conta corporativa. Para obter mais informações, confira "Como configurar o logon único do SAML para sua empresa".

Observações:

  • A autenticação SAML não é necessária para que os membros da organização executem operações de leitura, como exibição, clonagem e bifurcação de recursos públicos.
  • A autenticação SAML não é necessária para colaboradores externos. Para obter mais informações sobre colaboradores externos, confira "Funções em uma organização".

Antes de ativar o SAML SSO para sua organização, é necessário conectar seu IdP à sua organização. Para obter mais informações, confira "Como conectar seu provedor de identidade à sua organização".

Para uma organização, o SAML SSO pode ser desabilitado, habilitado, mas não aplicado, ou habilitado e aplicado. Depois de ativar o SSO SAML para a sua organização e os integrantes da sua organização efetuarem a autenticação com sucesso com o seu IdP, você poderá aplicar a configuração SAML SSO. Para obter mais informações sobre como impor o SSO do SAML para sua organização do GitHub, confira "Como impor o logon único do SAML para sua organização".

Os integrantes devem efetuar a autenticação periodicamente com seu IdP para efetuar a autenticação e obter acesso aos recursos da sua organização. A duração desse período de login é especificado pelo seu IdP e geralmente é de 24 horas. Esse requisito de login periódico limita a duração do acesso e exige que os usuários identifiquem-se novamente para continuar.

Para acessar os recursos protegidos da organização que usam a API e o Git na linha de comando, os integrantes devem autorizar e efetuar a autenticação com um token de acesso pessoal ou chave SSH. Para obter mais informações, confira "Como autorizar um token de acesso pessoal para uso com o logon único do SAML" e "Como autorizar uma chave SSH para uso com o logon único do SAML".

Na primeira vez que um integrante utiliza o SAML SSO para acessar sua organização, GitHub cria automaticamente um registro que vincula a sua organização, a conta do integrante no GitHub.com e a conta do integrante no seu IdP. Você pode visualizar e revogar a identidade de SAML vinculada, as sessões ativas e credenciais autorizadas para integrantes da sua empresa ou conta corporativa. Para obter mais informações, confira "Como ver e gerenciar o acesso do SAML de um membro à sua organização" e "Como ver e gerenciar o acesso do SAML à sua conta empresarial".

Se os integrantes estiverem conectados com uma sessão SAML SSO, ao criarem um novo repositório, a visibilidade-padrão desse repositório será privada. Caso contrário, a visibilidade-padrão será pública. Para obter mais informações sobre a visibilidade do repositório, confira "Sobre os repositórios".

Os integrantes da organização também devem ter uma sessão de SAML ativa para autorizar um OAuth App. Você pode optar por não participar deste requisito entrando em contato com GitHub Support. GitHub Enterprise Cloud não recomenda a exclusão deste requisito, o que irá expor sua organização a um maior risco de aquisições de conta e perda potencial de dados.

GitHub Enterprise Cloud não é compatível com o logout único SAML. Para finalizar uma sessão do SAML ativa, os usuários devem efetuar o logout diretamente no seu IdP do SAML.

Serviços SAML compatíveis

GitHub Enterprise Cloud é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS)
  • Active Directory do Azure (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Alguns IdPs são compatíveis com o o provisionamento de acesso a uma organização GitHub via SCIM. Para obter mais informações, confira "Sobre o SCIM para organizações".

Você não pode usar essa implementação do SCIM com uma conta corporativa ou com um organization with managed users. Se a sua empresa estiver habilitada para Enterprise Managed Users, você deverá usar uma implementação diferente do SCIM. Caso contrário, o SCIM não estará disponível no nível empresarial. Para saber mais, confira "Configurar o provisionamento scim para Enterprise Managed Users.".

Adicionar integrantes a uma organização usando SAML SSO

Depois de habilitar o SSO do SAML, há várias maneiras de adicionar membros à organização. Os proprietários da organização podem convidar novos integrantes manualmente no GitHub Enterprise Cloud ou usando a API. Para obter mais informações, confira "Como convidar usuários para ingressar na sua organização" e "Membros".

Para provisionar novos usuários sem o convite de um proprietário da organização, você pode usar a URL https://github.com/orgs/ORGANIZATION/sso/sign_up, substituindo ORGANIZATION pelo nome da sua organização. Por exemplo, é possível configurar o IdP para que qualquer pessoa que tenha acesso possa clicar em um link no painel do IdP para ingressar na sua organização do GitHub.

Se o seu IdP é compatível com o SCIM, o GitHub poderá convidar automaticamente integrantes para participarem da sua organização ao conceder acesso no seu IdP. Se você remover o acesso de um integrante à organização do seu GitHub no seu IdP de SAML, o integrante será removido automaticamente da organização de GitHub. Para obter mais informações, confira "Sobre o SCIM para organizações".

Você pode usar a sincronização da equipe para adicionar e remover automaticamente membros da organização às equipes por meio de um provedor de identidade. Para obter mais informações, confira "Como sincronizar uma equipe com um grupo de provedores de identidade".

GitHub Enterprise Cloud não é compatível com o logout único SAML. Para finalizar uma sessão do SAML ativa, os usuários devem efetuar o logout diretamente no seu IdP do SAML.

Leitura adicional