Skip to main content

Atualmente o GitHub AE está em versão limitada.

Configurar o logon único SAML para sua empresa

Você pode controlar e proteger o acesso a sua empresa no GitHub AE com a configuração do SSO (logon único) do SAML por meio do IdP (provedor de identidade).

Quem pode usar esse recurso

Enterprise owners can configure SAML SSO for an enterprise on GitHub AE.

Sobre o SAML SSO

O SAML SSO permite que você controle centralmente e proteja o acesso ao sua empresa a partir do seu IdP SAML. Quando um usuário não autenticado visitar sua empresa em um navegador, GitHub AE redirecionará o usuário para seu IdP do SAML para efetuar a autenticação. Depois que o usuário efetua a autenticação com sucesso com uma conta no IdP, o usuário do IdP redireciona o usuário de volta para sua empresa. GitHub AE valida a resposta do seu IdP e, em seguida, concede acesso ao usuário.

Depois que um usuário efetua a autenticação com sucesso no IdP, a sessão do SAML do usuário para sua empresa fica ativa no navegador por 24 horas. Depois de 24 horas, o usuário deve efetuar a autenticação novamente com o seu IdP.

Para tonar uma pessoa proprietária de uma empresa, você precisa delegar acesso do seu IdP. Se você usar o Azure AD e o SCIM, atribua a função de proprietário da empresa ao usuário. Para outros IdPs, inclua o atributo administrator na declaração SAML da conta de usuário no IdP, com o valor igual a true. Para obter mais informações sobre os proprietários da empresa, confira "Funções em uma empresa". Para obter mais informações sobre autenticação e provisionamento usando o Azure AD, confira "Configurar a autenticação e provisionamento para sua empresa usando o Azure AD".

Por padrão, seu IdP não se comunica com GitHub AE automaticamente quando você atribuir ou desatribuir o aplicativo. O GitHub AE cria uma conta de usuário usando o provisionamento JIT (just-in-time) do SAML na primeira vez em que alguém acessa GitHub AE e se conecta autenticando-se por meio do IdP. Talvez seja necessário notificar manualmente os usuários ao permitir acesso ao GitHub AE, e é preciso desativar a conta de usuário do GitHub AE durante a integração.

Como alternativa, em vez do provisionamento SAML JIT, você pode usar o SCIM para criar ou suspender e conceder ou negar acesso a sua empresa automaticamente depois de atribuir ou cancelar a atribuição do aplicativo em seu IdP. Para saber mais, confira "Como configurar o provisionamento de usuários na empresa com o SCIM".

Provedores de identidade compatíveis

GitHub AE é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Active Directory do Azure (Azure AD)
  • Okta (beta)

Para obter mais informações sobre como conectar o Azure AD à sua empresa, confira Tutorial: integração SSO do Azure Active Directory com GitHub Enterprise Cloud – conta corporativa no Microsoft Docs.

Considerações de nome de usuário no SAML

O GitHub AE normaliza um valor do IdP para determinar o nome de usuário de cada nova conta pessoal do GitHub AE. Para obter mais informações, veja "Considerações de nome de usuário para autenticação externa".

Habilitar o SAML SSO

Você configurará identidade e gerenciamento de acesso para GitHub AE, inserindo os detalhes do seu IdP do SAML durante a inicialização. Para obter mais informações, confira "Inicializar o GitHub AE".

Os seguintes IdPs fornecem documentação sobre a configuração de do SAML SSO para GitHub AE. Se seu IdP não estiver listado, entre em contato com seu IdP para solicitar suporte para GitHub AE.

IdPMais informações
Azure AD"Configurar a autenticação e provisionamento para sua empresa usando o Azure AD"
Okta"Configurar autenticação e provisionamento para sua empresa usando o Okta"

Durante a inicialização do GitHub AE, você deve configurar o GitHub AE como um SP (provedor de serviço) do SAML no seu IdP. Você deve inserir vários valores únicos no seu IdP para configurar GitHub AE como um SP válido. Para obter mais informações, confira "Referência de configuração do SAML".

Editar a configuração SAML SSO

Se os detalhes do IdP forem alterados, você deverá editar a configuração SAML SSO para o sua empresa. Por exemplo, se o certificado de seu IdP expirar, você poderá editar o valor para o certificado público.

Observação: Se você não puder entrar na sua empresa porque GitHub AE não pode comunicar-se com seu IdP do SAML, você pode entrar em contato com Suporte do GitHub, que pode ajudar você a acessar GitHub AE para atualizar a configuração do SAML SSO. Para obter mais informações, confira "Entrando em contato com o suporte do GitHub".

  1. No canto superior à direita de GitHub AE, clique na foto do perfil e clique em Configurações da empresa.

    Captura de tela do menu suspenso que aparece quando você clica na foto de perfil no GitHub Enterprise Server. A opção "Configurações corporativas" está realçada em um contorno laranja-escuro.

  2. Na barra lateral da conta corporativa, clique em Configurações.

  3. Em Configurações, clique em Segurança da autenticação.

  4. Em "logon único SAML", digite os novos detalhes para o seu IdP.

  5. Em seu certificado público, à direita dos métodos atuais de assinatura e resumo, clique em .

    Captura de tela do método de assinatura atual e do método de resumo nas configurações do SAML. O ícone de lápis é realçado com um contorno laranja.

  6. Selecione os menus suspensos Método de Assinatura e Método de Resumo, em seguida, clique no algoritmo de hash usado pelo seu emissor do SAML.

  7. Para garantir que as informações inseridas estão corretas, clique em Testar configuração do SAML.

  8. Clique em Salvar.

  9. Opcionalmente, para provisionar e desprovisionar contas de usuário automaticamente para sua empresa, reconfigure o provisionamento de usuário com SCIM. Para obter mais informações, confira "Como configurar o provisionamento de usuários na empresa com o SCIM".

Desabilitar SAML SSO

Aviso: se você desabilitar o SSO do SAML do sua empresa, os usuários sem sessões SSO do SAML existentes não poderão entrar no sua empresa. As sessões SAML SSO em sua empresa terminam após 24 horas.

Observação: Se você não puder entrar na sua empresa porque GitHub AE não pode comunicar-se com seu IdP do SAML, você pode entrar em contato com Suporte do GitHub, que pode ajudar você a acessar GitHub AE para atualizar a configuração do SAML SSO. Para obter mais informações, confira "Entrando em contato com o suporte do GitHub".

  1. No canto superior à direita de GitHub AE, clique na foto do perfil e clique em Configurações da empresa.

    Captura de tela do menu suspenso que aparece quando você clica na foto de perfil no GitHub Enterprise Server. A opção "Configurações corporativas" está realçada em um contorno laranja-escuro.

  2. Na barra lateral da conta corporativa, clique em Configurações.

  3. Em Configurações, clique em Segurança da autenticação.

  4. Em "Logon único do SAML", desmarque Habilitar autenticação SAML.

  5. Para desabilitar o SSO do SAML e exigir o logon com a conta de usuário interna que você criou durante a inicialização, clique em Salvar.