Skip to main content

Configurar o logon único SAML para sua empresa

Você pode controlar e proteger o acesso a your GitHub Enterprise Server instance com a configuração do SSO (logon único) do SAML por meio do IdP (provedor de identidade).

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Sobre o SAML SSO

O SAML SSO permite que você controle centralmente e proteja o acesso ao your GitHub Enterprise Server instance a partir do seu IdP SAML. Quando um usuário não autenticado visita your GitHub Enterprise Server instance em um navegador, GitHub Enterprise Server redirecionará o usuário para seu IdP do SAML para efetuar a autenticação. Depois que o usuário efetua a autenticação com sucesso com uma conta no IdP, o usuário do IdP redireciona o usuário de volta para your GitHub Enterprise Server instance. GitHub Enterprise Server valida a resposta do seu IdP e, em seguida, concede acesso ao usuário.

Depois que um usuário efetua a autenticação com sucesso no seu IdP, a sessão do SAML do usuário para your GitHub Enterprise Server instance fica ativa no navegador por 24 horas. Depois de 24 horas, o usuário deve efetuar a autenticação novamente com o seu IdP.

Se você remover um usuário do seu IdP, também deverá suspendê-lo manualmente. Caso contrário, o proprietário da conta poderá continuar fazendo autenticação usando tokens de acesso ou chaves SSH. Para obter mais informações, confira "Como suspender e cancelar a suspensão de usuários".

Provedores de identidade compatíveis

GitHub Enterprise Server é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS)
  • Active Directory do Azure (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Configurando o SAML SSO

Você pode habilitar ou desabilitar a autenticação do SAML para your GitHub Enterprise Server instance ou você pode editar uma configuração existente. Você pode ver e editar as configurações de autenticação do GitHub Enterprise Server no console de gerenciamento. Para obter mais informações, confira "Como acessar o console de gerenciamento".

Observação: O GitHub recomenda fortemente que você verifique novas configurações para autenticação em um ambiente de preparo. Uma configuração incorreta poderá resultar em tempo de inatividade no your GitHub Enterprise Server instance. Para obter mais informações, confira "Como configurar uma instância de preparo".

  1. Em uma conta administrativa no GitHub Enterprise Server, no canto superior direito de qualquer página, clique em .

    Captura de tela do ícone de foguete para acesso às configurações de administração do site

  2. Se você ainda não estiver na página "Administração do site", no canto superior esquerdo, clique em Administração do site.

    Captura de tela do link "Administração do site" 1. Na barra lateral à esquerda, clique em Console de Gerenciamento . Guia Console de Gerenciamento na barra lateral esquerda 1. Na barra lateral esquerda, clique em Autenticação. Guia Autenticação na barra lateral de configurações

  3. Selecione SAML.

    Captura de tela da opção para habilitar a autenticação SAML no console de gerenciamento

  4. Opcionalmente, para permitir que pessoas sem uma conta em seu sistema de autenticação externa entrem com autenticação interna, selecione Permitir autenticação interna. Para obter mais informações, confira "Como permitir a autenticação interna para usuários fora do seu provedor".

    Captura de tela da opção para habilitar a autenticação integrada fora do IdP do SAML

  5. Opcionalmente, para habilitar o SSO de resposta não solicitado, selecione SSO iniciado pelo IdP. Por padrão, o GitHub Enterprise Server responderá a uma solicitação iniciada pelo IdP (provedor de identidade) não solicitada com uma AuthnRequest.

    Captura de tela da opção para habilitar resposta não solicitada iniciada pelo IdP

    Observação: recomendamos manter esse valor desmarcado. Você deverá habilitar esse recurso na rara ocasião em que a implementação do SAML não der suporte ao SSO iniciado pelo provedor de serviços e quando recomendado pelo Suporte do GitHub Enterprise.

  6. Selecione Desabilitar rebaixamento/promoção do administrador se não quiser que o provedor do SAML determine direitos de administrador para os usuários na your GitHub Enterprise Server instance.

    Captura de tela da opção para habilitar a opção para respeitar o atributo do "administrador" do IdP a fim de habilitar ou desabilitar direitos administrativos

  7. Opcionalmente, para permitir que a your GitHub Enterprise Server instance receba declarações criptografadas do IdP do SAML, selecione Exigir declarações criptografadas. Você deve garantir que seu IdP é compatível com declarações e que a criptografia e os métodos de transporte principais no console de gerenciamento correspondem aos valores configurados no seu IdP. Você também deve fornecer o certificado público de your GitHub Enterprise Server instance ao seu IdP. Para obter mais informações, confira "Como habilitar declarações criptografadas".

    Captura de tela da caixa de seleção "Habilitar declarações criptografadas" na seção "Autenticação" do console de gerenciamento

  8. No campo URL de logon, digite o ponto de extremidade HTTP ou HTTPS do IdP para solicitações de logon único. Esse valor é fornecido pela configuração do IdP. Se o host só está disponível na sua rede interna, talvez seja necessário configurar a your GitHub Enterprise Server instance para usar servidores de nomes internos.

    Captura de tela do campo de texto para a URL de acesso único

  9. Opcionalmente, no campo Emissor, digite o nome do emissor do SAML. Fazer isso verifica a autenticidade das mensagens enviadas para your GitHub Enterprise Server instance.

    Screenshot do campo de texto para a URL do emissor do SAML

  10. Nos menus suspensos Método de Assinatura e Método de Hash, escolha o algoritmo de hash usado pelo emissor do SAML para verificar a integridade das solicitações da your GitHub Enterprise Server instance. Especifique o formato com o menu suspenso Formato de Identificador de Nome.

    Captura de tela dos menus suspensos para selecionar a assinatura e o método de resumo

  11. Em Certificado de verificação, clique em Escolher Arquivo e escolha um certificado para validar as respostas do SAML do IdP.

    Captura de tela do botão para fazer o upload do certificado de validação do IdP

  12. Modifique os nomes do atributo SAML para corresponder ao IdP, se necessário, ou aceite os nomes padrão.

    Captura de tela dos campos para inserir atributos adicionais do SAML

Leitura adicional