Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
Versão do artigo: Enterprise Server 2.20

Usar SAML

O SAML é um padrão de autenticação e autorização baseado em XML. O GitHub Enterprise Server pode agir como provedor de serviços (SP, Service Provider) com seu provedor de identidade (IdP, Identity Provider) SAML interno.

Neste artigo

Se você quiser autenticar usuários sem adicioná-los ao seu provedor de identidade, você pode configurar a autenticação integrada. Para obter mais informações, consulte "Allowing built-in authentication for users outside your identity provider."

Serviços SAML compatíveis

We offer limited support for all identity providers that implement the SAML 2.0 standard. We officially support these identity providers that have been internally tested:

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

GitHub Enterprise does not support SAML Single Logout. To terminate an active SAML session, users should log out directly on your SAML IdP.

Considerações de nome de usuário no SAML

Cada nome de usuário do GitHub Enterprise Server é determinado por uma das seguintes afirmações na resposta SAML, ordenada por prioridade:

  • Nome de usuário personalizado, se houver;
  • Declaração http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name, se houver;
  • Declaração http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress, se houver;
  • Elemento NameID.

O elemento NameID é obrigatório, mesmo que os outros atributos estejam presentes.

É criado um mapeamento entre NameID e o nome de usuário do GitHub Enterprise Server; assim, NameID deve ser persistente, exclusivo e não estar sujeito a alterações no ciclo de vida do usuário.

Nomes de usuário de GitHub Enterprise Server só podem conter caracteres alfanuméricos e traços (-). GitHub Enterprise Server normalizará qualquer caractere não alfanumérico do nome de usuário da sua conta em um traço. Por exemplo, um nome de usuário de gregory.st.john será normalizado para gregory-st-john. Observe que nomes de usuários normalizados também não podem iniciar ou terminar com um traço. Eles também não podem conter dois traços consecutivos.

Nomes de usuário criados a partir de endereços de e-mail são criados a partir dos caracteres normalizados que precedem o caractere @.

Se várias contas forem normalizadas no mesmo nome de usuário do GitHub Enterprise Server apenas a primeira conta de usuário é criada. Usuários subsequentes com o mesmo nome de usuário não serão capazes de fazer o login.

Esta tabela dá exemplos de como os nomes de usuário são normalizados em GitHub Enterprise Server:

UsuárioNome de usuário normalizadoResultado
Ms.Bubblesms-bubblesNome de usuário criado com sucesso.
!Ms.Bubbles-ms-bubblesEste nome de usuário não é criado, porque começa com um traço.
Ms.Bubbles!ms-bubbles-Este nome de usuário não é criado, porque termina com um traço.
Ms!!Bubblesms--bubblesEste nome de usuário não é criado, porque contém dois traços consecutivos.
Ms!Bubblesms-bubblesEste nome de usuário não é criado. Embora o nome de usuário normalizado seja válido, ele já existe.
Ms.Bubbles@example.comms-bubblesEste nome de usuário não é criado. Embora o nome de usuário normalizado seja válido, ele já existe.

Autenticação de dois fatores

Quando usar SAML ou CAS, a autenticação de dois fatores não é suportada ou gerenciada no appliance do GitHub Enterprise Server, mas pode ser suportada pelo provedor de autenticação externa. A aplicação da autenticação de dois fatores em organizações não está disponível. Para obter mais informações sobre a aplicação da autenticação de dois fatores nas organizações, consulte "Requiring two-factor authentication in your organization."

Metadados SAML

Os metadados do provedor de serviços da sua instância do GitHub Enterprise Server estão disponíveis em http(s)://[hostname]/saml/metadata.

Para configurar seu provedor de identidade manualmente, a URL do serviço de consumidor de declaração (ACS, Assertion Consumer Service) é http(s)://[hostname]/saml/consume e usa a associação urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.

Atributos SAML

Os atributos a seguir estão disponíveis. Você pode alterar seus nomes no console de gerenciamento, exceto o atributo administrator.

Nome padrão do atributoTipoDescrição
NameIDObrigatórioIdentificador de usuário persistente. Qualquer formato de identificador de nome persistente pode ser usado. O elemento NameID será usado para um nome de usuário do GitHub Enterprise Server, a menos que uma das declarações alternativas seja fornecida.
administratorOpcionalQuando o valor for 'true', o usuário será promovido automaticamente como administrador. Qualquer outro valor ou um valor não existente rebaixará o usuário para uma conta regular.
nome de usuárioOpcionalNome do usuário no GitHub Enterprise Server.
full_nameOpcionalNome do usuário exibido na página de perfil. Após o provisionamento, os usuários podem alterar seus nomes.
emailsOpcionalEndereços de e-mail para o usuário. É possível especificar mais de um.
public_keysOpcionalChaves SSH públicas para o usuário. É possível especificar mais de uma.
gpg_keysOpcionalChaves chaves GPG para o usuário. É possível especificar mais de um.

Definir configurações SAML

  1. No canto superior direito de qualquer página, clique em .

    Ícone de foguete para acessar as configurações de administrador do site

  2. Na barra lateral esquerda, clique em Console de gerenciamento.

    Console de gerenciamento aba na barra lateral esquerda

  3. Na barra lateral esquerda, clique em Authentication.

    Aba de autenticação na barra lateral de configurações

  4. Selecione SAML.

    Autenticação SAML

  5. Opcionalmente, selecione Allow built-in authentication para convidar usuários a utilizar a autenticação integrada se eles não pertencerem ao provedor de identidade do sua instância do GitHub Enterprise Server.

    Selecionar caixa de autenticação integrada SAML

  6. Para habilitar SSO de resposta não solicitada, selecione IdP initiated SSO (SSO iniciado pelo IdP). Por padrão, o GitHub Enterprise Server responderá a uma solicitação iniciada pelo Provedor de identidade (IdP) não solicitado com AuthnRequest.

    SAML idP SSO

    Observação: é recomendável manter esse valor desmarcado. Você deve habilitar esse recurso somente na rara instância em que sua implementação SAML não oferecer suporte ao SSO iniciado pelo provedor de serviços e quando recomendado pelo Suporte do GitHub Enterprise.

  7. Selecione Disable administrator demotion/promotion (Desabilitar rebaixamento/promoção do administrador) se você não quiser que o provedor SAML determine direitos de administrador para usuários no sua instância do GitHub Enterprise Server.

    Configuração desativar administrador SAML

  8. No campo Sign on URL (URL de logon), digite o ponto de extremidade HTTP ou HTTPS do seu IdP para solicitações de logon único. Esse valor é fornecido pela configuração do IdP. Se o nome do host só estiver disponível na rede interna, talvez seja necessário configurar a sua instância do GitHub Enterprise Server para usar servidores de nomes internos.

    Autenticação SAML

  9. Como alternativa, no campo Issuer (Emissor), digite o nome do emissor de SAML. Fazer isso verifica a autenticidade das mensagens enviadas para a sua instância do GitHub Enterprise Server.

    Emissor SAML

  10. Nos menus suspensos Signature Method (Método de assinatura) e Digest Method (Método de compilação), escolha o algoritmo de hash usado pelo emissor SAML para verificar a integridade das solicitações do sua instância do GitHub Enterprise Server. Especifique o formato no menu suspenso Name Identifier Format (Formato de identificador de nome).

    Método SAML

  11. Em Verification certificate (Certificado de verificação), clique em Choose File (Escolher arquivo) e escolha um certificado para validar as respostas SAML do IdP.

    Autenticação SAML

  12. Modifique os nomes do atributo SAML para corresponder ao IdP, se necessário, ou aceite os nomes padrão.

    Nomes de atributos SAML

Revogar o acesso à sua instância do GitHub Enterprise Server

Se remover um usuário do seu provedor de identidade, você também deverá suspendê-lo manualmente. Caso contrário, ele continuará podendo fazer autenticação usando tokens de acesso ou chaves SSH. Para obter mais informações, consulte "Suspender e cancelar a suspensão de usuários".

Requisitos de mensagem de resposta

A mensagem de resposta deve atender aos seguintes requisitos:

  • O <Destination> elemento deve sempre ser fornecido no documento de resposta raiz e deve corresponder ao URL do ACS somente quando o documento de resposta raiz estiver assinado. If the assertion is signed, it will be ignored.
  • O elemento <Audience> deve sempre ser fornecido como parte do elemento <AudienceRestriction>. Ele corresponde ao ID da Entidade GitHub Enterprise Server. Esta é a URL para a instância do GitHub Enterprise Server, como https://ghe.corp.example.com.
  • Todas as declarações na resposta devem ser precedidas de assinatura digital. É possível fazer isso assinando cada elemento <Assertion> ou assinando o elemento <Response>.
  • Um elemento <NameID> deve ser fornecido como parte do elemento <Subject>. Qualquer formato de identificador de nome persistente pode ser usado.
  • O atributo Recipient deve estar presente e definido na URL do ACS. Por exemplo:
<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>...</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://ghe.corp.example.com/saml/consume" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
    <saml:AttributeStatement>
      <saml:Attribute FriendlyName="USERNAME-ATTRIBUTE" ...>
        <saml:AttributeValue>monalisa</saml:AttributeValue>
      </saml:Attribute>
    </saml:AttributeStatement>
  </saml:Assertion>
</samlp:Response>

Mensagens de erro

Se Recipient não corresponder à URL do ACS, o log de autenticação mostrará a seguinte mensagem de erro:

Recipient na resposta SAML não era válido.

Se Recipient não for parte da mensagem de resposta, o log de autenticação mostrará a seguinte mensagem de erro:

Recipient na resposta SAML não pode ficar em branco.

Se a resposta SAML não estiver assinada ou se a assinatura não corresponder ao conteúdo, o log de autenticação mostrará a seguinte mensagem de erro:

Resposta SAML não assinada ou modificada.

Se Audience estiver ausente ou não corresponder ao ID de entidade do GitHub Enterprise Server, o log de autenticação mostrará a seguinte mensagem de erro:

Audience inválido. O atributo Audience não corresponde a url_sua_instância

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato