Configurar SCIM e o logon único SAML usando o Okta

Você pode usar o SSO (logon único) do SAML (Security Assertion Markup Language) e o SCIM (Sistema de Gerenciamento de Usuários entre Domínios) com o Okta para gerenciar automaticamente o acesso à organização no GitHub.

Quem pode usar esse recurso?

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

Neste artigo

Sobre SAML e SCIM com Okta

Você pode controlar o acesso à sua organização no GitHub e outros aplicativos Web em uma interface central, configurando a organização para usar SSO e SCIM SAML com Okta, um provedor de identidade (IdP).

Observação: para usar o logon único do SAML, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira "Como configurar uma avaliação do GitHub Enterprise Cloud".

O SAML SSO controla e protege o acesso a recursos da organização, como repositórios, problemas e pull requests. O SCIM adiciona, gerencia e remove automaticamente o acesso de membros à sua organização no GitHub quando você faz alterações no Okta. Para obter mais informações, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML" e "Sobre o SCIM para organizações."

Após ativar o SCIM, os seguintes recursos de provisionamento estarão disponíveis para qualquer usuário ao qual você atribuir seu aplicativo do GitHub Enterprise Cloud no Okta.

RecursoDescrição
Fazer push de novos usuáriosQuando você cria um novo usuário no Okta, o usuário recebe um email para ingressar na sua organização no GitHub.
Fazer push de desativações de usuárioQuando você desativa um usuário no Okta, o Okta remove o usuário de sua organização no GitHub.
Fazer push das atualização de perfilQuando você atualiza o perfil de um usuário no Okta, o Okta atualiza os metadados da associação do usuário em sua organização no GitHub.
Reativar usuáriosQuando você reativa um usuário no Okta, o Okta envia um convite por email para que o usuário retorne à sua organização no GitHub.

Como alternativa, você pode configurar o SAML SSO para uma empresa usando o Okta. O SCIM para contas corporativas só está disponível com Usuários Corporativos Gerenciados. Para obter mais informações, confira "Configurar o logon único SAML para a sua empresa usando o Okta" e "Configurando o provisionamento do SCIM com o Okta."

Configurar o SAML no Okta

  1. No Painel do Okta, expanda o menu Aplicativos e clique em Aplicativos.
  2. Clique em Navegar no catálogo de aplicativos.
  3. Pesquise o aplicativo chamado "GitHub Enterprise Cloud – Organização".
  4. Clique em Adicionar Integração.
  5. Preencha o formulário, fornecendo o nome da sua organização no GitHub e um nome exclusivo no campo "Rótulo de Aplicativo".
  6. Atribua o aplicativo ao seu usuário no Okta. Para obter mais informações, confira Atribuir aplicativos aos usuários na documentação do Okta.
  7. No nome do aplicativo, clique em Entrar.
  8. Em "MÉTODOS DE LOGON", clique em Exibir Instruções de Instalação.
  9. Habilitar e testar o SAML SSO no GitHub usando a URL de logon, a URL do emissor e os certificados públicos da aba "Como configurar o SAML 2.0". Para obter mais informações, confira "Habilitar e testar logon único de SAML para sua organização".

Configurar provisionamento de acesso com SCIM em Okta

Para usar o SCIM com sua organização, você deve usar um OAuth app de terceiros. O OAuth app deve ser autorizado por usuário específico do GitHub e, posteriormente, atuar em nome dele. Se o usuário que autorizou pela última vez esse OAuth app sair ou for removido da organização, o SCIM deixará de funcionar. Para evitar esse problema, recomendamos criar uma conta de usuário dedicada para configurar o SCIM. Essa conta de usuário deve ser uma proprietária da organização e consumirá uma licença.

  1. Entre no GitHub usando uma conta que seja um proprietário da organização e usada apenas para a configuração do SCIM.

  2. Para criar uma sessão do SAML ativa para sua organização, navegue até https://github.com/orgs/ORGANIZATION-NAME/sso. Para obter mais informações, confira "Sobre a autenticação com logon único de SAML".

  3. Navegue até o Okta.

  4. Na barra lateral esquerda, use o menu suspenso Aplicativos e clique em Aplicativos.

  5. Na lista de aplicativos, clique na etiqueta do aplicativo que você criou para a organização que usa o GitHub Enterprise Cloud.

  6. No nome do aplicativo, clique em Provisionamento.

  7. Clique em Configurar Integração de API.

  8. Selecione Habilitar integração de API.

    Note

    "Importar grupos" não tem o suporte do GitHub. Marcar ou desmarcar a caixa de seleção não afeta a configuração.

  9. Clique em Autenticar-se com o GitHub Enterprise Cloud – Organização.

  10. À direita do nome da sua organização, clique em Conceder.

    Observação: se você não conseguir ver sua organização, poderá ser porque as restrições de acesso do OAuth app estão habilitadas para a organização. Para continuar, você precisará aprovar o aplicativo "OKTA SCIM Integration" para a organização. Para obter mais informações, confira "Aprovar aplicativos OAuth na organização".

  11. Clique em Autorizar o OktaOAN.

  12. Clique em Salvar.

  13. Para evitar erros de sincronização e confirmar que seus usuários têm identidades vinculadas a SAML e SCIM, recomendamos que você audite os usuários de sua organização. Para obter mais informações, confira "Solução de problemas de gerenciamento de identidade e acesso da organização".

  14. À direita de "Provisionamento no Aplicativo", clique em Editar.

  15. À direita de "Criar Usuários", selecione Habilitar.

  16. À direita de "Atualizar Atributos do Usuário", selecione Habilitar.

  17. À direita de "Desativar Usuários", selecione Habilitar.

  18. Clique em Save (Salvar).

Leitura adicional