Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Sobre o gerenciamento de identidade e acesso com o SAML de logon único

Se você gerencia centralmente as identidades e aplicativos dos seus usuários com um provedor de identidade (IdP), você pode configurar o Logon Único (SSO) da Linguagem de Markup de Declaração de Segurança (SAML) para proteger os recursos da sua organização em GitHub.

Logon único SAML estão disponíveis com GitHub Enterprise Cloud. Para obter mais informações, consulte os "Produtos do GitHub".

Neste artigo

Esse documento ajudou você?

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.

Sobre o SAML SSO

O SAML SSO concede aos proprietários corporativos da organização em GitHub uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e pull requests.

Depois de configurar o SAML SSO, os integrantes da sua organização de GitHub continuarão a fazer login em suas contas de usuário no GitHub. Quando um membro acessa recursos dentro de sua organização que usa o SAML SSO, o GitHub redireciona o integrante para o seu IdP para efetuar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o integrante para GitHub, onde poderá acessar os recursos da sua organização.

Os proprietários das empresas também podem aplicar SAML SSO para todas as organizações em uma conta corporativa. Para obter mais informações, consulte "Aplicar as configurações de segurança na conta corporativa".

Observação: Os colaboradores externos não são obrigados a efetuar a autenticação com um IdP para acessar os recursos de uma organização com SSO do SAML. Para obter mais informações sobre colaboradores externos, consulte "Níveis de permissão para uma organização".

Antes de ativar o SAML SSO para sua organização, é necessário conectar seu IdP à sua organização. Para obter mais informações, consulte "Conectar o provedor de identidade à sua organização".

Para uma organização, o SAML SSO pode ser desabilitado, habilitado, mas não aplicado, ou habilitado e aplicado. Depois de ativar o SSO SAML para a sua organização e os integrantes da sua organização efetuarem a autenticação com sucesso com o seu IdP, você poderá aplicar a configuração SAML SSO. Para obter mais informações sobre a aplicação de SAML SSO para a sua organização do GitHub, consulte "Aplicando logon único SAML para a sua organização".

Os integrantes devem efetuar a autenticação periodicamente com seu IdP para efetuar a autenticação e obter acesso aos recursos da sua organização. A duração desse período de login é especificado pelo seu IdP e geralmente é de 24 horas. Esse requisito de login periódico limita a duração do acesso e exige que os usuários identifiquem-se novamente para continuar.

Para acessar os recursos protegidos da organização que usam a API e o Git na linha de comando, os integrantes devem autorizar e efetuar a autenticação com um token de acesso pessoal ou chave SSH. Para mais informações consulte "Autorizar um token de acesso pessoal para usar com o logon único SAML" e "Autorizar uma chave SSH para uso com o logon único SAML."

A primeira vez que um membro usar o SAML SSO para acessar sua organização, o GitHub criará automaticamente um registro que irá vincular a sua organização, a conta do GitHub do integrante e a conta do integrante no seu IdP. Você pode visualizar e revogar a identidade de SAML vinculada, as sessões ativas e credenciais autorizadas para integrantes da sua empresa ou conta corporativa. Para obter mais informações consulte "Visualizar e gerenciar o acesso de SAML de um integrante da sua organização" e "Visualizar e gerenciar o acesso de SAML de um usuário à conta corporativa".

Se os integrantes estiverem conectados com uma sessão SAML SSO, ao criarem um novo repositório, a visibilidade-padrão desse repositório será privada. Caso contrário, a visibilidade-padrão será pública. Para obter mais informações sobre a visibilidade de repositório, consulte "Sobre a visibilidade do repositório".

Os integrantes da organização também devem ter uma sessão de SAML ativa para autorizar um aplicativo OAuth. Você pode optar por não participar deste requisito entrando em contato com Suporte no GitHub ou Suporte do GitHub Premium. GitHub não recomenda a exclusão deste requisito, o que irá expor sua organização a um maior risco de aquisições de conta e perda potencial de dados.

Serviços SAML compatíveis

Oferecemos suporte limitado para todos os provedores de identidade que implementam o padrão SAML 2.0. Apoiamos oficialmente esses provedores de identidade que foram testados internamente:

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Alguns IdPs suportam acesso de provisionamento a uma organização do GitHub via SCIM. Para obter mais informações, consulte "Sobre o SCIM".

Adicionar integrantes a uma organização usando SAML SSO

Depois que o SAML SSO é habilitado, há várias maneiras possíveis de adicionar novos integrantes à organização. Os proprietários da organização podem convidar novos integrantes manualmente no GitHub ou usando a API. Para obter mais informações, consulte "Convidar usuários para juntar-se à sua organização" e "Integrantes".

Você pode usar a sincronização de equipe para adicionar e remover automaticamente os membros da equipe em uma organização por meio de um provedor de identidade. Para obter mais informações, consulte "Sincronizando uma equipe com um grupo de provedores de identidade ."

Para provisionar novos usuários sem o convite de um proprietário da organização, você pode usar a URL https://github.com/orgs/ORGANIZATION/sso/sign_up, substituindo ORGANIZATION pelo nome da sua organização. Por exemplo, é possível configurar o IdP para que qualquer pessoa que tenha acesso possa clicar em um link no painel do IdP para ingressar na sua organização do GitHub.

Se o seu IdP é compatível com o SCIM, o GitHub poderá convidar automaticamente integrantes para participarem da sua organização ao conceder acesso no seu IdP. Se você remover o acesso de um integrante à organização do seu GitHub no seu IdP de SAML, o integrante será removido automaticamente da organização de GitHub. Para obter mais informações, consulte "Sobre o SCIM".

GitHub não é compatível com o logout único SAML. Para finalizar uma sessão do SAML ativa, os usuários devem efetuar o logout diretamente no seu IdP do SAML.

Leia mais

Esse documento ajudou você?

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.