Enterprise Server 3.15 está disponível no momento como versão release candidate.

Configurando a autenticação e o provisionamento com o Okta

Saiba como configurar o Okta para se comunicar com sua empresa usando o SCIM (Sistema de Gerenciamento de Usuários entre Domínios).

Quem pode usar esse recurso?

Site administrators with admin access to the IdP

Neste artigo

Note

SCIM para GitHub está atualmente em beta e sujeito a alterações. A recomendação do GitHub é para, primeiro, realizar testes em uma instância de preparo. Confira "Configurar uma instância de preparo".

Sobre o provisionamento com Okta

Se você usar o Okta como provedor de identidade, poderá usar o aplicativo do Okta para provisionar contas de usuário, bem como gerenciar associações à empresa e à equipe nas organizações da sua empresa. O Okta é um IdP de parceiro, de modo que você pode simplificar sua configuração de autenticação e provisionamento usando o aplicativo Oktapara gerenciar o logon único SAML e o provisionamento do SCIM no GitHub Enterprise Server.

Como alternativa, caso só pretenda usar o Okta para autenticação SAML e deseje usar outro provedor de identidade para provisionamento, você poderá fazer a integração com a API REST do GitHub para SCIM. Para obter mais informações, confira "Provisionar usuários e grupos com SCIM usando a API REST".

Recursos com suporte

O GitHub Enterprise Server oferece suporte aos recursos de provisionamento para o Okta a seguir.

RecursoDescrição
Fazer push de novos usuáriosOs usuários atribuídos ao aplicativo do GitHub no Okta são automaticamente criados na empresa no GitHub Enterprise Server.
Fazer push da atualização do perfilAs atualizações feitas no perfil do usuário no Okta serão enviadas por push para GitHub Enterprise Server.
Grupos de PushOs grupos no Okta que estão atribuídos ao aplicativo do GitHub como Grupos de Push são criados automaticamente na empresa no GitHub Enterprise Server.
Fazer push de desativações de usuárioCancelar a atribuição do usuário do aplicativo doGitHub Okta desabilitará o usuário no GitHub Enterprise Server. O usuário não poderá efetuar o login, mas as informações do usuário serão mantidas.
Reativar usuáriosOs usuários no Okta cujas contas do Okta forem reativadas e que forem atribuídos novamente aos aplicativo do GitHub no Okta serão habilitados.

Pré-requisitos

Os pré-requisitos gerais para usar o SCIM no GitHub Enterprise Server são aplicáveis. Consulte a seção "Pré-requisitos" em "Configurando o provisionamento do SCIM para gerenciar usuários".

Além disso:

  • Para configurar o SCIM, você deve ter concluído as etapas 1 a 4 em "Configurando o provisionamento do SCIM para gerenciar usuários".

    • Você precisará do personal access token (classic) criado para que o usuário de configuração autentique as solicitações do Okta.

  • Você deve usar o aplicativo do Okta para autenticação e provisionamento.

  • Seu produto Okta deve oferecer suporte ao Sistema de Gerenciamento de Usuários entre Domínios (SCIM). Para obter mais informações, consulte a documentação da Okta ou entre em contato com a equipe de suporte do Okta.

1. Configure o SAML

Durante a beta do SCIM no GitHub Enterprise Server, você usará o aplicativo GitHub AE no Okta para configurar a autenticação SAML e o provisionamento do SCIM. Não use o aplicativo "GitHub Enterprise Server", que é incompatível com os pontos de extremidade mais recentes da API SCIM do GitHub.

Antes de iniciar esta seção, certifique-se de ter seguido as etapas 1 e 2 em "Configurando o provisionamento do SCIM para gerenciar usuários".

No Okta

  1. Acesse o aplicativo GitHub AE no Okta.

  2. Clique em Adicionar Integração.

  3. Nas configurações gerais, para a URL base, insira a URL do host do GitHub Enterprise Server (https://HOSTNAME.com).

  4. Clique na guia Logon.

  5. Certifique-se de que os "Detalhes da Credencial" correspondam a estes.

    • "Formato de nome de usuário do aplicativo": nome de usuário do Okta
    • "Atualizar nome de usuário do aplicativo em": Criar e atualizar
    • "Revelação de senha": desmarcada

  6. Na seção "Certificados de assinatura SAML", baixe seu certificado selecionando Ações e clicando em Baixar certificado.

  7. No lado direito da página, clique em Exibir instruções de configuração do SAML.

  8. Anote a URL de "Login" e a URL do "Emissor".

No GitHub Enterprise Server

  1. Inicie sessão em sua instância do GitHub Enterprise Server como um usuário com acesso ao Console de Gerenciamento.
  2. Configure o SAML usando as informações coletadas. Confira "Configurar o logon único SAML para sua empresa".

2. Configure o SCIM

Depois de configurar o SAML, você pode continuar a definir as configurações de provisionamento.

Antes de iniciar esta seção, certifique-se de ter seguido as etapas 1 a 4 em "Configurando o provisionamento do SCIM para gerenciar usuários".

  1. Acesse o seu aplicativo deGitHub Enterprise Managed User no Okta.

  2. Clique o provisionamento guia.

  3. No menu de configurações, clique em Integração.

  4. Para fazer alterações, clique em Editar.

  5. Clique em Configurar Integração de API.

  6. No campo "Token de API", insira o personal access token (classic) com o escopo admin:enterprise pertencente ao usuário da instalação.

    Note

    "Importar grupos" não tem o suporte do GitHub. Marcar ou desmarcar a caixa de seleção não afeta a configuração.

  7. Clique em Testar Credenciais da API. Se o teste for bem sucedido, será exibida uma mensagem de verificação na parte superior da tela.

  8. Para salvar o token, clique em Salvar.

  9. No menu de configurações, clique em No Aplicativo.

  10. À direita de "Provisionamento no Aplicativo", para permitir que as alterações sejam feitas, clique em Editar.

  11. Selecione Habilitar à direita de Criar usuários, Atualizar Atributos de Usuário e Desativar Usuários.

  12. Para concluir a configuração do provisionamento, clique em Salvar.

Quando terminar de configurar o SCIM, você poderá desabilitar algumas configurações do SAML habilitadas para o processo de configuração. Confira "Configurando o provisionamento do SCIM para gerenciar usuários".

Como faço para atribuir usuários e grupos?

Depois de configurar a autenticação e o provisionamento, você poderá provisionar novos usuários no GitHub ao atribuir usuários ou grupos ao aplicativo relevante em seu IdP.

Observação: É possível que um dos administradores do site tenha habilitado limitação de fluxo da API na sua instância. Se você exceder esses limites, as tentativas de provisionar usuários poderão falhar com um erro de "limite de taxa". Você pode examinar os logs do IdP para confirmar se houve falha no provisionamento do SCIM ou nas operações de push devido a um erro de limite de taxa. A resposta a uma tentativa de provisionamento com falha dependerá do IdP. Para obter mais informações, consulte "Solução de problemas de gerenciamento de identidade e acesso da empresa".

Você também pode gerenciar automaticamente a associação à organização atribuindo grupos à guia "Grupos de Push" no Okta. Quando o grupo for provisionado com sucesso, ele estará disponível para conectar-se a equipes das organizações da empresa. Para saber mais sobre como gerenciar equipes, confira "Gerenciando associações de equipes com grupos de provedores de identidade".

Ao atribuir aos usuários, você poderá usar o atributo "Funções" no aplicativo em seu IdP para definir a função de um usuário na empresa no GitHub Enterprise Server. Para saber mais sobre as funções disponíveis para atribuição, confira "Funções em uma empresa".

Observação: só é possível definir o atributo "Funções" para um usuário individual, não para um grupo. Se você quiser definir funções para todos em um grupo atribuído ao aplicativo no Okta, você deverá usar o atributo "Funções" para cada membro do grupo individualmente.

Como faço para desprovisionar usuários e grupos?

Para remover um usuário ou grupo de GitHub Enterprise Server, remova o usuário ou o grupo da guia "Atribuições" e da guia "Grupos de push" no Okta. Para usuários, verifique se o usuário foi removido de todos os grupos na guia "Grupos de Push".