Sobre o SAML SSO
O SAML SSO permite que você controle centralmente e proteja o acesso ao sua empresa a partir do seu IdP SAML. Quando um usuário não autenticado visitar sua empresa em um navegador, GitHub AE redirecionará o usuário para seu IdP do SAML para efetuar a autenticação. Depois que o usuário efetua a autenticação com sucesso com uma conta no IdP, o usuário do IdP redireciona o usuário de volta para sua empresa. GitHub AE valida a resposta do seu IdP e, em seguida, concede acesso ao usuário.
Depois que um usuário efetua a autenticação com sucesso no IdP, a sessão do SAML do usuário para sua empresa fica ativa no navegador por 24 horas. Depois de 24 horas, o usuário deve efetuar a autenticação novamente com o seu IdP.
Para tonar uma pessoa proprietária de uma empresa, você precisa delegar acesso do seu IdP. Se você usar o Azure AD e o SCIM, atribua a função de proprietário da empresa ao usuário. Para outros IdPs, inclua o atributo administrator na declaração SAML da conta de usuário no IdP, com o valor igual a true. Para obter mais informações sobre os proprietários da empresa, confira "Funções em uma empresa". Para obter mais informações sobre autenticação e provisionamento usando o Azure AD, confira "Configurar a autenticação e provisionamento para sua empresa usando o Azure AD".
Por padrão, seu IdP não se comunica com GitHub AE automaticamente quando você atribuir ou desatribuir o aplicativo. O GitHub AE cria uma conta de usuário usando o provisionamento JIT (just-in-time) do SAML na primeira vez em que alguém acessa GitHub AE e se conecta autenticando-se por meio do IdP. Talvez seja necessário notificar manualmente os usuários ao permitir acesso ao GitHub AE, e é preciso desativar a conta de usuário do GitHub AE durante a integração.
Como alternativa, em vez do provisionamento SAML JIT, você pode usar o SCIM para criar ou suspender e conceder ou negar acesso a sua empresa automaticamente depois de atribuir ou cancelar a atribuição do aplicativo em seu IdP. Para saber mais, confira "Como configurar o provisionamento de usuários na empresa com o SCIM".
Provedores de identidade compatíveis
GitHub AE é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.
Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.
- Active Directory do Azure (Azure AD)
- Okta (beta)
Habilitar o SAML SSO
Você configurará identidade e gerenciamento de acesso para GitHub AE, inserindo os detalhes do seu IdP do SAML durante a inicialização. Para obter mais informações, confira "Inicializar o GitHub AE".
Os seguintes IdPs fornecem documentação sobre a configuração de do SAML SSO para GitHub AE. Se seu IdP não estiver listado, entre em contato com seu IdP para solicitar suporte para GitHub AE.
| IdP | Mais informações |
|---|---|
| Azure AD | "Configurar a autenticação e provisionamento para sua empresa usando o Azure AD" |
| Okta | "Configuring authentication and provisioning for your enterprise using Okta" |
Durante a inicialização do GitHub AE, você deve configurar o GitHub AE como um SP (provedor de serviço) do SAML no seu IdP. Você deve inserir vários valores únicos no seu IdP para configurar GitHub AE como um SP válido. Para obter mais informações, confira "Referência de configuração do SAML".
Editar a configuração SAML SSO
Se os detalhes do IdP forem alterados, você deverá editar a configuração SAML SSO para o sua empresa. Por exemplo, se o certificado de seu IdP expirar, você poderá editar o valor para o certificado público.
Observação: Se você não puder entrar na sua empresa porque GitHub AE não pode comunicar-se com seu IdP do SAML, você pode entrar em contato com Suporte do GitHub, que pode ajudar você a acessar GitHub AE para atualizar a configuração do SAML SSO. Para obter mais informações, confira "Entrando em contato com o suporte do GitHub".
-
No canto superior à direita de GitHub AE, clique na foto do perfil e clique em Configurações da empresa.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "logon único SAML", digite os novos detalhes para o seu IdP.
-
Em seu certificado público, à direita dos métodos atuais de assinatura e resumo, clique em .
-
Selecione os menus suspensos Método de Assinatura e Método de Resumo, em seguida, clique no algoritmo de hash usado pelo seu emissor do SAML.
-
Para garantir que as informações inseridas estão corretas, clique em Testar configuração do SAML.
-
Clique em Salvar.
-
Opcionalmente, para provisionar e desprovisionar contas de usuário automaticamente para sua empresa, reconfigure o provisionamento de usuário com SCIM. Para obter mais informações, confira "Como configurar o provisionamento de usuários na empresa com o SCIM".
Desabilitar SAML SSO
Aviso: se você desabilitar o SSO do SAML do sua empresa, os usuários sem sessões SSO do SAML existentes não poderão entrar no sua empresa. As sessões SAML SSO em sua empresa terminam após 24 horas.
Observação: Se você não puder entrar na sua empresa porque GitHub AE não pode comunicar-se com seu IdP do SAML, você pode entrar em contato com Suporte do GitHub, que pode ajudar você a acessar GitHub AE para atualizar a configuração do SAML SSO. Para obter mais informações, confira "Entrando em contato com o suporte do GitHub".
- No canto superior à direita de GitHub AE, clique na foto do perfil e clique em Configurações da empresa.
- Em Configurações, clique em Segurança da autenticação.
- Em "Logon único do SAML", desmarque Habilitar autenticação SAML.
- Para desabilitar o SSO do SAML e exigir o logon com a conta de usuário interna que você criou durante a inicialização, clique em Salvar.