Sobre o provisionamento de usuários do GitHub AE
GitHub AE usa o SAML SSO para autenticação de usuário. Você pode gerenciar centralmente o acesso ao GitHub AE em um IdP que seja compatível com o padrão SAML 2.0. Para obter mais informações, confira "Configurar o logon único SAML para sua empresa".
Você poderá configurar o SCIM para criar ou suspender automaticamente as contas de usuário e permitir acesso do GitHub AE ao atribuir ou desatribuir o aplicativo no IdP. Para obter mais informações sobre o SCIM, confira Sistema de Gerenciamento de Usuários entre Domínios: protocolo (RFC 7644) no site do IETF.
Se você não configurar o provisionamento de usuários com SCIM, seu IdP não se comunicará com GitHub AE automaticamente quando você atribuir ou cancelar a atribuição do aplicativo a um usuário. Sem SCIM, GitHub AE cria uma conta de usuário usando o provisionamento SAML Just-in-Time (JIT) na primeira vez que alguém navega para GitHub AE e faz login autenticando por meio de seu IdP.
A configuração do provisionamento permite que o IdP se comunique com a sua empresa quando você atribui ou desatribui o aplicativo do GitHub AE a um usuário no IdP. Ao atribuir o aplicativo, o IdP pedirá que a sua empresa crie uma conta e envie um email de integração ao usuário. Ao desatribuir o aplicativo, o seu IdP irá comunicar-se com GitHub AE para invalidar quaisquer sessões de SAML e desabilitar a conta do integrante.
Para configurar o provisionamento para o seu negócio, você deve habilitar o provisionamento em GitHub AE e, em seguida, instalar e configurar um aplicativo de provisionamento no seu IdP.
Sobre identidades e declarações
Depois que um administrador do IdP permite que uma pessoa acesse a sua empresa, o usuário pode se autenticar por meio do IdP para acessar o GitHub AE usando o SSO de SAML.
Durante a autenticação, o GitHub AE tenta associar o usuário a uma identidade SAML. Por padrão, o GitHub AE compara a declaração NameID
do IdP com o nome de usuário da conta. O GitHub AE normaliza o valor de NameID
para a comparação. Para obter mais informações sobre a normalização de nome de usuário, confira "Considerações de nome de usuário para autenticação externa".
Se não houver uma conta existente com um nome de usuário correspondente na instância, o usuário não conseguirá entrar.
Se GitHub AE identifica com êxito um usuário do IdP, mas os detalhes da conta, como endereço de email, nome ou sobrenome não correspondem, a instância substitui os detalhes pelos valores do IdP. Qualquer endereço de email diferente do email principal fornecido pelo SCIM também será excluído da conta do usuário.
Provedores de identidade compatíveis
Os IdPs a seguir dão suporte ao provisionamento de usuários com o SCIM para o GitHub AE.
Observação: o suporte para logon único (SSO) de GitHub AE para Okta está atualmente na versão beta.
IdP | SAML | Provisionamento do usuário | Mapeamento de equipe |
---|---|---|---|
Active Directory do Azure (Azure AD) | |||
Okta | Beta | Beta | Beta |
Para IdPs compatíveis com o mapeamento de equipe, você pode atribuir ou desatribuir o aplicativo de GitHub AE para grupos de usuários do seu IdP. Estes grupos são disponibilizados aos proprietários da organização e mantenedores de equipe em sua empresa a serem mapeados para as equipes do GitHub AE. Para obter mais informações, confira "Mapeando grupos do Okta com as equipes".
Pré-requisitos
- Você precisa configurar o SSO de SAML ao inicializar o GitHub AE. Para obter mais informações, confira "Inicializar o GitHub AE".
- Você deve ter acesso administrativo no seu IdP para configurar o aplicativo para o provisionamento do usuário para GitHub AE.
Habilitar provisionamento de usuários para a sua empresa
-
Enquanto estiver conectado à sua empresa como um proprietário corporativo, crie um personal access token com o escopo admin:enterprise. Para obter mais informações, confira "Criando um token de acesso pessoal".
Observações:
- Para criar o personal access token, recomendamos usar a conta do primeiro proprietário corporativo que foi criada durante a inicialização. Para obter mais informações, confira "Inicializar o GitHub AE".
- Você precisará desse personal access token para configurar o aplicativo para o SCIM no IdP. Armazene o token com segurança em um gerenciador de senhas até que você precise do token novamente posteriormente nestas instruções.
Aviso: se a conta de usuário do proprietário corporativo que cria o personal access token for desativada ou desprovisionada, o IdP não provisionará nem desprovisionará automaticamente as contas de usuário da empresa. Outro proprietário corporativo precisa criar um personal access token e reconfigurar o provisionamento no IdP.
-
Na barra lateral da conta corporativa, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "Provisionamento de Usuário do SCIM", selecione Exigir provisionamento de usuário do SCIM.
-
Clique em Salvar.
-
Configure o provisionamento de usuário no aplicativo para GitHub AE em seu IdP.
Os seguintes IdPs fornecem documentação sobre configuração de provisionamento para GitHub AE. Se seu IdP não estiver listado, entre em contato com seu IdP para solicitar suporte para GitHub AE.
IdP Mais informações Azure AD Tutorial: configure GitHub AE para provisionamento automático de usuários no Microsoft Docs. Para configurar o Azure AD para GitHub AE, confira "Configurar a autenticação e provisionamento para sua empresa usando o Azure AD". Okta (beta) Para configurar o Okta para GitHub AE, confira "Configuring authentication and provisioning for your enterprise using Okta". O aplicativo no IdP exige dois valores para provisionar ou desprovisionar contas de usuário em sua empresa.
Valor Outros nomes Descrição Exemplo URL URL do Locatário URL para a API de provisionamento SCIM para sua empresa no GitHub AE https://HOSTNAME/api/v3/scim/v2
Segredo compartilhado Personal access token, token secreto Token para aplicativo no seu IdP para executar tarefas de provisionamento em nome do proprietário de uma empresa Personal access token que você criou na etapa 1