Skip to main content

Configurar o logon único SAML para sua empresa

Você pode controlar e proteger o acesso a your GitHub Enterprise Server instance com a configuração do SSO (logon único) do SAML por meio do IdP (provedor de identidade).

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Sobre o SAML SSO

O SAML SSO permite que você controle centralmente e proteja o acesso ao your GitHub Enterprise Server instance a partir do seu IdP SAML. Quando um usuário não autenticado visitar your GitHub Enterprise Server instance em um navegador, GitHub Enterprise Server redirecionará o usuário para seu IdP do SAML para efetuar a autenticação. Depois que o usuário efetua a autenticação com sucesso com uma conta no IdP, o usuário do IdP redireciona o usuário de volta para your GitHub Enterprise Server instance. GitHub Enterprise Server valida a resposta do seu IdP e, em seguida, concede acesso ao usuário.

Depois que um usuário efetua a autenticação com sucesso no IdP, a sessão do SAML do usuário para your GitHub Enterprise Server instance fica ativa no navegador por 24 horas. Depois de 24 horas, o usuário deve efetuar a autenticação novamente com o seu IdP.

With JIT provisioning, if you remove a user from your IdP, you must also manually suspend the user's account on your GitHub Enterprise Server instance. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. For more information, see "Suspending and unsuspending users".

Provedores de identidade compatíveis

GitHub Enterprise Server é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS)
  • Active Directory do Azure (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configurando o SAML SSO

Você pode habilitar ou desabilitar a autenticação do SAML para your GitHub Enterprise Server instance ou você pode editar uma configuração existente. Você pode ver e editar as configurações de autenticação do GitHub Enterprise Server no console de gerenciamento. Para obter mais informações, confira "Como acessar o console de gerenciamento".

Observação: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for your GitHub Enterprise Server instance. For more information, see "Setting up a staging instance."

  1. Em uma conta administrativa no GitHub Enterprise Server, no canto superior direito de qualquer página, clique em .

    Captura de tela do ícone de foguete para acesso às configurações de administração do site

  2. Se você ainda não estiver na página "Administração do site", no canto superior esquerdo, clique em Administração do site.

    Captura de tela do link "Administração do site" 1. Na barra lateral à esquerda, clique em Console de Gerenciamento . Guia Console de Gerenciamento na barra lateral esquerda 1. Na barra lateral esquerda, clique em Autenticação. Guia Autenticação na barra lateral de configurações

  3. Selecione SAML.

    Captura de tela da opção para habilitar a autenticação SAML no console de gerenciamento

  4. Opcionalmente, para permitir que pessoas sem uma conta em seu sistema de autenticação externa entrem com autenticação interna, selecione Permitir autenticação interna. Para obter mais informações, confira "Como permitir a autenticação interna para usuários fora do seu provedor".

    Captura de tela da opção para habilitar a autenticação integrada fora do IdP do SAML

  5. Opcionalmente, para habilitar o SSO de resposta não solicitado, selecione SSO iniciado pelo IdP. Por padrão, o GitHub Enterprise Server responderá a uma solicitação iniciada pelo IdP (provedor de identidade) não solicitada com uma AuthnRequest.

    Captura de tela da opção para habilitar resposta não solicitada iniciada pelo IdP

    Observação: recomendamos manter esse valor desmarcado. Você deverá habilitar esse recurso na rara ocasião em que a implementação do SAML não der suporte ao SSO iniciado pelo provedor de serviços e quando recomendado pelo Suporte do GitHub Enterprise.

  6. Selecione Desabilitar rebaixamento/promoção do administrador se não quiser que o provedor do SAML determine direitos de administrador para os usuários na your GitHub Enterprise Server instance.

    Captura de tela da opção para habilitar a opção para respeitar o atributo do "administrador" do IdP a fim de habilitar ou desabilitar direitos administrativos

  7. Opcionalmente, para permitir que a your GitHub Enterprise Server instance receba declarações criptografadas do IdP do SAML, selecione Exigir declarações criptografadas. Você deve garantir que seu IdP é compatível com declarações e que a criptografia e os métodos de transporte principais no console de gerenciamento correspondem aos valores configurados no seu IdP. Você também deve fornecer o certificado público de your GitHub Enterprise Server instance ao IdP. Para obter mais informações, confira "Como habilitar declarações criptografadas".

    Captura de tela da caixa de seleção "Habilitar declarações criptografadas" na seção "Autenticação" do console de gerenciamento

  8. No campo URL de logon, digite o ponto de extremidade HTTP ou HTTPS do IdP para solicitações de logon único. Esse valor é fornecido pela configuração do IdP. Se o host só estiver disponível somente na rede interna, talvez seja necessário configurar a your GitHub Enterprise Server instance para usar servidores de nomes internos.

    Captura de tela do campo de texto para a URL de acesso único

  9. Opcionalmente, no campo Emissor, digite o nome do emissor do SAML. Fazer isso verifica a autenticidade das mensagens enviadas para your GitHub Enterprise Server instance.

    Screenshot do campo de texto para a URL do emissor do SAML

  10. Nos menus suspensos Método de Assinatura e Método de Hash, escolha o algoritmo de hash usado pelo emissor do SAML para verificar a integridade das solicitações da your GitHub Enterprise Server instance. Especifique o formato com o menu suspenso Formato de Identificador de Nome.

    Captura de tela dos menus suspensos para selecionar a assinatura e o método de resumo

  11. Em Certificado de verificação, clique em Escolher Arquivo e escolha um certificado para validar as respostas do SAML do IdP.

    Captura de tela do botão para fazer o upload do certificado de validação do IdP

  12. Modifique os nomes do atributo SAML para corresponder ao IdP, se necessário, ou aceite os nomes padrão.

    Captura de tela dos campos para inserir atributos adicionais do SAML

Leitura adicional