Sobre SAML e SCIM com Okta
Você pode controlar o acesso à sua organização no GitHub e outros aplicativos Web em uma interface central, configurando a organização para usar SSO e SCIM SAML com Okta, um provedor de identidade (IdP).
Note
Para usar o logon único SAML, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira "Como configurar uma avaliação do GitHub Enterprise Cloud".
O SAML SSO controla e protege o acesso a recursos da organização, como repositórios, problemas e pull requests. O SCIM adiciona, gerencia e remove automaticamente o acesso de membros à sua organização no GitHub quando você faz alterações no Okta. Para obter mais informações, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML" e "Sobre o SCIM para organizações."
Após ativar o SCIM, os seguintes recursos de provisionamento estarão disponíveis para qualquer usuário ao qual você atribuir seu aplicativo do GitHub Enterprise Cloud no Okta.
Recurso | Descrição |
---|---|
Fazer push de novos usuários | Quando você cria um novo usuário no Okta, o usuário recebe um email para ingressar na sua organização no GitHub. |
Fazer push de desativações de usuário | Quando você desativa um usuário no Okta, o Okta remove o usuário de sua organização no GitHub. |
Fazer push das atualização de perfil | Quando você atualiza o perfil de um usuário no Okta, o Okta atualiza os metadados da associação do usuário em sua organização no GitHub. |
Reativar usuários | Quando você reativa um usuário no Okta, o Okta envia um convite por email para que o usuário retorne à sua organização no GitHub. |
Como alternativa, você pode configurar o SAML SSO para uma empresa usando o Okta. O SCIM para contas corporativas só está disponível com Usuários Corporativos Gerenciados. Para obter mais informações, confira "Configurar o logon único SAML para a sua empresa usando o Okta" e "Configurando o provisionamento do SCIM com o Okta."
Configurar o SAML no Okta
- No Painel do Okta, expanda o menu Aplicativos e clique em Aplicativos.
- Clique em Navegar no catálogo de aplicativos.
- Pesquise o aplicativo chamado "GitHub Enterprise Cloud – Organização".
- Clique em Adicionar Integração.
- Preencha o formulário, fornecendo o nome da sua organização no GitHub e um nome exclusivo no campo "Rótulo de Aplicativo".
- Atribua o aplicativo ao seu usuário no Okta. Para obter mais informações, confira Atribuir aplicativos aos usuários na documentação do Okta.
- No nome do aplicativo, clique em Entrar.
- Em "MÉTODOS DE LOGON", clique em Exibir Instruções de Instalação.
- Habilitar e testar o SAML SSO no GitHub usando a URL de logon, a URL do emissor e os certificados públicos da aba "Como configurar o SAML 2.0". Para obter mais informações, confira "Habilitar e testar logon único de SAML para sua organização".
Configurar provisionamento de acesso com SCIM em Okta
Para usar o SCIM com sua organização, você deve usar um OAuth app de terceiros. O OAuth app deve ser autorizado por usuário específico do GitHub e, posteriormente, atuar em nome dele. Se o usuário que autorizou pela última vez esse OAuth app sair ou for removido da organização, o SCIM deixará de funcionar. Para evitar esse problema, recomendamos criar uma conta de usuário dedicada para configurar o SCIM. Essa conta de usuário deve ser uma proprietária da organização e consumirá uma licença.
-
Entre no GitHub usando uma conta que seja um proprietário da organização e usada apenas para a configuração do SCIM.
-
Para criar uma sessão do SAML ativa para sua organização, navegue até
https://github.com/orgs/ORGANIZATION-NAME/sso
. Para obter mais informações, confira "Sobre a autenticação com logon único de SAML". -
Navegue até o Okta.
-
Na barra lateral esquerda, use o menu suspenso Aplicativos e clique em Aplicativos.
-
Na lista de aplicativos, clique na etiqueta do aplicativo que você criou para a organização que usa o GitHub Enterprise Cloud.
-
No nome do aplicativo, clique em Provisionamento.
-
Clique em Configurar Integração de API.
-
Selecione Habilitar integração de API.
Note
"Importar grupos" não tem o suporte do GitHub. Marcar ou desmarcar a caixa de seleção não afeta a configuração.
-
Clique em Autenticar-se com o GitHub Enterprise Cloud – Organização.
-
À direita do nome da sua organização, clique em Conceder.
Note
Se você não conseguir ver sua organização, poderá ser porque as restrições de acesso do OAuth app estão habilitadas para a organização. Para continuar, você precisará aprovar o aplicativo "OKTA SCIM Integration" para a organização. Para obter mais informações, confira "Aprovar aplicativos OAuth na organização".
-
Clique em Autorizar o OktaOAN.
-
Clique em Salvar.
-
Para evitar erros de sincronização e confirmar que seus usuários têm identidades vinculadas a SAML e SCIM, recomendamos que você audite os usuários de sua organização. Para obter mais informações, confira "Solução de problemas de gerenciamento de identidade e acesso da organização".
-
À direita de "Provisionamento no Aplicativo", clique em Editar.
-
À direita de "Criar Usuários", selecione Habilitar.
-
À direita de "Atualizar Atributos do Usuário", selecione Habilitar.
-
À direita de "Desativar Usuários", selecione Habilitar.
-
Clique em Save (Salvar).
Leitura adicional
- "Configurar o logon único SAML para a sua empresa usando o Okta"
- Noções básicas sobre o SAML na documentação do Okta
- Noções básicas sobre o SCIM na documentação do Okta