Skip to main content

About SAML for enterprise IAM

You can use SAML single sign-on (SSO) to centrally manage access to sua instância do GitHub Enterprise Server.

About SAML SSO for sua instância do GitHub Enterprise Server

SAML SSO allows people to authenticate and access sua instância do GitHub Enterprise Server through an external system for identity management.

SAML is an XML-based standard for authentication and authorization. When you configure SAML for sua instância do GitHub Enterprise Server, the external system for authentication is called an identity provider (IdP). Your instance acts as a SAML service provider (SP). For more information about the SAML standard, see Security Assertion Markup Language on Wikipedia.

Observação: você pode usar SAML ou LDAP, mas não ambos.

Ao usar SAML ou CAS, não há suporte nem gerenciamento para a autenticação de dois fatores na instância do GitHub Enterprise Server, mas há suporte para a autenticação de dois fatores pelo provedor de autenticação externo. A aplicação da autenticação de dois fatores em organizações não está disponível. Para obter mais informações sobre como aplicar autenticação de dois fatores em organizações, confira "Exigindo a autenticação de dois fatores na sua organização".

After you configure SAML, people who use sua instância do GitHub Enterprise Server must use a personal access token to authenticate API requests. For more information, see "Gerenciar seus tokens de acesso pessoal."

Se você deseja permitir a autenticação para algumas pessoas que não têm uma conta no seu provedor de autenticação externo, permita a autenticação de fallback para contas locais no sua instância do GitHub Enterprise Server. Para obter mais informações, confira "Allowing built-in authentication for users outside your provider".

For more information about the configuration of SAML SSO on GitHub Enterprise Server, see "Configuring SAML single sign-on for your enterprise." To learn how to configure both authentication and user provisioning for sua instância do GitHub Enterprise Server, see the articles for individual IdPs in "Using SAML for enterprise IAM."

About creation of user accounts

Por padrão, seu IdP não se comunica com GitHub Enterprise Server automaticamente quando você atribuir ou desatribuir o aplicativo. O GitHub Enterprise Server cria uma conta de usuário usando o provisionamento JIT (just-in-time) do SAML na primeira vez em que alguém acessa GitHub Enterprise Server e se conecta autenticando-se por meio do IdP. Talvez seja necessário notificar manualmente os usuários ao permitir acesso ao GitHub Enterprise Server, e é preciso desativar a conta de usuário do GitHub Enterprise Server durante a integração.

Como alternativa, em vez do provisionamento SAML JIT, você pode usar o SCIM para criar ou suspender e conceder ou negar acesso a sua instância do GitHub Enterprise Server automaticamente depois de atribuir ou cancelar a atribuição do aplicativo em seu IdP. O SCIM para GitHub Enterprise Server está atualmente em versão beta privada e sujeito a alterações. For more information, see "Configuring user provisioning with SCIM for your enterprise."

Com o provisionamento JIT, se você remover um usuário do IdP, também deverá suspender manualmente a conta do usuário em sua instância do GitHub Enterprise Server. Caso contrário, o proprietário da conta poderá continuar fazendo autenticação usando tokens de acesso ou chaves SSH. Para obter mais informações, confira "Suspender e cancelar a suspensão de usuários".

Supported IdPs

GitHub Enterprise Server é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS) da Microsoft
  • Microsoft Entra ID (anteriormente conhecida como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

If your IdP supports encrypted assertions, you can configure encrypted assertions on GitHub Enterprise Server for increased security during the authentication process.

GitHub Enterprise Server não é compatível com o logout único SAML. Para finalizar uma sessão do SAML ativa, os usuários devem efetuar o logout diretamente no seu IdP do SAML.

Further reading