Skip to main content

Configurar o logon único SAML para sua empresa

Você pode controlar e proteger o acesso a recursos your GitHub Enterprise Server instance, configurando o logon único SAML (SSO) através do seu provedor de identidade (IdP).

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Sobre o SAML SSO

O SAML SSO permite que você controle centralmente e proteja o acesso ao your GitHub Enterprise Server instance a partir do seu IdP SAML. Quando um usuário não autenticado visita your GitHub Enterprise Server instance em um navegador, GitHub Enterprise Server redirecionará o usuário para seu IdP do SAML para efetuar a autenticação. Depois que o usuário efetua a autenticação com sucesso com uma conta no IdP, o usuário do IdP redireciona o usuário de volta para your GitHub Enterprise Server instance. GitHub Enterprise Server valida a resposta do seu IdP e, em seguida, concede acesso ao usuário.

Depois que um usuário efetua a autenticação com sucesso no seu IdP, a sessão do SAML do usuário para your GitHub Enterprise Server instance fica ativa no navegador por 24 horas. Depois de 24 horas, o usuário deve efetuar a autenticação novamente com o seu IdP.

If you remove a user from your IdP, you must also manually suspend them. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. Para obter mais informações, consulte "Suspender e cancelar a suspensão de usuários".

Provedores de identidade compatíveis

GitHub Enterprise Server é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, consulte a Wiki do SAML no site do OASIS.

GitHub officially supports and internally tests the following IdPs.

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configurando o SAML SSO

Você pode habilitar ou desabilitar a autenticação do SAML para your GitHub Enterprise Server instance ou você pode editar uma configuração existente. Você pode ver e editar as configurações de autenticação para GitHub Enterprise Server no console de gerenciamento. Para obter mais informações, consulte "Acessando o console de gerenciamento".

Observação: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for your GitHub Enterprise Server instance. Para obter mais informações, consulte "Configurar instância de preparo".

  1. From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .

    Screenshot of the rocket ship icon for accessing site admin settings

  2. If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.

    Screenshot of "Site admin" link

  3. Na barra lateral esquerda, clique em Console de gerenciamento. Console de gerenciamento aba na barra lateral esquerda

  4. Na barra lateral esquerda, clique em Authentication. Aba de autenticação na barra lateral de configurações

  5. Selecione SAML.

    Captura de tela da opção para habilitar a autenticação SAML no console de gerenciamento

  6. Optionally, to allow people without an account on your external authentication system to sign in with built-in authentication, select Allow built-in authentication. Para obter mais informações, consulte "Permitir a autenticação integrada para usuários de fora do seu provedor".

    Captura de tela da opção para habilitar a autenticação integrada fora do IdP do SAML

  7. Para habilitar SSO de resposta não solicitada, selecione IdP initiated SSO (SSO iniciado pelo IdP). Por padrão, o GitHub Enterprise Server responderá a uma solicitação iniciada pelo Provedor de identidade (IdP) não solicitado com AuthnRequest.

    Captura de tela da opção para habilitar resposta não solicitada iniciada pelo IdP

    Observação: recomendamos manter este valor não selecionado. Você deve habilitar esse recurso somente na rara instância em que sua implementação SAML não oferecer suporte ao SSO iniciado pelo provedor de serviços e quando recomendado pelo Suporte do GitHub Enterprise.

  8. Selecione Disable administrator demotion/promotion (Desabilitar rebaixamento/promoção do administrador) se você não quiser que o provedor SAML determine direitos de administrador para usuários no your GitHub Enterprise Server instance.

    Opção da captura de tela para habilitar a opção de respeitar o atributo do "administrador" do IdP para habilitar ou desabilitar as permissões administrativas

  9. Opcionalmente, para permitir que your GitHub Enterprise Server instance receba asserções criptografadas do IdP do seu SAML, selecione Exigir declarações criptografadas. Você deve garantir que seu IdP é compatível com declarações e que a criptografia e os métodos de transporte principais no console de gerenciamento correspondem aos valores configurados no seu IdP. Você também deve fornecer o certificado público de your GitHub Enterprise Server instance ao seu IdP. Para obter mais informações, consulte "Habilitando declarações criptografadas".

    Captura de tela da caixa de seleção "Habilitar declarações criptografadas" na seção de gerenciamento do console "Autenticação"

  10. No campo URL de logon único, digite o ponto de extremidade de HTTP ou HTTPS no seu IdP para solicitações de logon único. Esse valor é fornecido pela configuração do IdP. Se o host estiver disponível apenas na sua rede interna, você pode precisar que configure your GitHub Enterprise Server instance para usar servidores de nomes internos.

    Captura de tela do campo de texto para a URL de acesso único

  11. Como alternativa, no campo emissor, digite o nome do emissor do SAML. Fazer isso verifica a autenticidade das mensagens enviadas para your GitHub Enterprise Server instance.

    Screenshot do campo de texto para a URL do emissor do SAML

  12. Nos menus suspensos Método de assinatura e Método de compilação, escolha o algoritmo de hash usado pelo emissor SAML para verificar a integridade das solicitações do your GitHub Enterprise Server instance. Especifique o formato com menu suspenso Formato do Identificador do Nome.

    Captura de tela dos menus suspensos para selecionar a assinatura e o método de resumo

  13. Em Verification certificate (Certificado de verificação), clique em Choose File (Escolher arquivo) e escolha um certificado para validar as respostas SAML do IdP.

    Captura de tela do botão para fazer o upload do certificado de validação do IdP

  14. Modifique os nomes do atributo SAML para corresponder ao IdP, se necessário, ou aceite os nomes padrão.

    Captura de tela dos campos para inserir atributos adicionais do SAML

Leia mais