Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.
O GitHub AE está atualmente sob versão limitada. Entre em contato com nossa Equipe de Vendas para saber mais.

Configuração de referência do SAML

Você pode ver os metadados do SAML para sua sua empresa em GitHub AE, e você pode aprender mais sobre os atributos do SAML disponíveis e requisitos de resposta.

Sobre a configuração do SAML

Para usar o logon único SAML (SSO) para autenticação em GitHub AE, você deve configurar seu provedor de identidade externo do SAML (IdP) e sua empresa em GitHub AE. Em uma configuração do SAML, as funções de GitHub AE como um provedor de serviço do SAML (SP).

Você deve inserir valores únicos do IdP do seu SAML ao configurar o SAML SSO para GitHub AE, e você também deve inserir valores únicos de GitHub AE no seu IdP. Para obter mais informações sobre a configuração do SAML SSO para GitHub AE, consulte "Configurando o logon únic SAML para a sua empresa."

Metadados SAML

Os metadados de SP para a sua empresa em GitHub AE estão disponíveis em https://HOSTNAME/saml/metadata, em que o NOME DE HOST é o nome de host da sua empresa em GitHub AE. GitHub AE usa o vínculo urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.

ValorOutros nomesDescriçãoExemplo
ID da Entidade do SPURL do SP, restrição do público-alvoSeu URL de nível superior para GitHub AEhttps://HOSTNAME
URL do Serviço do Consumidor de Declaração (ACS) do SPURL de resposta, destinatário ou destinoURL em que o IdP envia respostas do SAMLhttps://HOSTNAME/saml/consume
URL de logon único (SSO) do SPURL em que o IdP começa com SSOhttps://HOSTNAME/sso

Atributos SAML

Os seguintes atributos o SAML estão disponíveis para GitHub AE.

NomeObrigatório?Descrição
NameIDSimIdentificador de usuário persistente. Qualquer formato de identificador de nome persistente pode ser usado. GitHub AE irá normalizar o elemento NameID para usar como um nome de usuário, a menos que seja fornecida uma das declarações alternativas. Para obter mais informações, consulte "Considerações de nome de usuário para autenticação externa".
SessionNotOnOrAfterNãoA data que GitHub AE invalida a sessão associada. Após a invalidação, a pessoa deve efetuar a autenticação novamente para acessar os recursos da sua empresa. Para obter mais informações, consulte "Duração da sessão e fim do tempo".
administratorNçaoQuando o valor for verdadeiro, GitHub AE promoverá automaticamente o usuário para ser um proprietário empresarial. Definir esse atributo para qualquer coisa menos verdadeiro resultará em demonstração, desde que o valor não esteja em branco. Omitir este atributo ou deixar o valor em branco não irá alterar a função do usuário.
full_nameNãoO nome completo do usuário a ser exibido na página de perfil do usuário.

Para especificar mais de um valor para um atributo, use múltiplos elementos de <saml2:AttributeValue>.

<saml2:Attribute FriendlyName="public_keys" Name="urn:oid:1.2.840.113549.1.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
    <saml2:AttributeValue>ssh-rsa LONG KEY</saml2:AttributeValue>
    <saml2:AttributeValue>ssh-rsa LONG KEY 2</saml2:AttributeValue>
</saml2:Attribute>

Requisitos de resposta do SAML

GitHub AE exige que a mensagem de resposta do seu IdP atenda aos seguintes requisitos.

  • Seu IdP deve fornecer o elemento <Destination> no documento de resposta raiz e corresponder ao URL do ACS somente quando o documento de resposta raiz for assinado. Se seu IdP assinar a declaração, GitHub AE irá ignorar a verificação.

  • Seu IdP deve sempre fornecer o elemento <Audience> como parte do elemento <AudienceRestriction>. O valor deve corresponder ao seu EntityId para GitHub AE. Este valor é o URL onde você pode acessar your enterprise, such as https://SUBDOMAIN.githubenterprise.com, https://SUBDOMAIN.github.us ou https://SUBDOMAIN.ghe.com.

  • Seu IdP deve proteger cada declaração na resposta com uma assinatura digital. Você pode realizar isso assinando cada elemento individual <Assertion> ou assinando o elemento<Response>.

  • Seu IdP deve fornecer um elemento <NameID> como parte do elemento <Subject>. Você pode usar qualquer formato de identificador de nome persistente.

  • Seu IdP deve incluir o atributo Destinatário, que deve ser definido como o URL do ACS. O exemplo a seguir demonstra o atributo.

    <samlp:Response ...>
      <saml:Assertion ...>
        <saml:Subject>
          <saml:NameID ...>...</saml:NameID>
          <saml:SubjectConfirmation ...>
            <saml:SubjectConfirmationData Recipient="https://SUBDOMAIN.ghe.com/saml/consume" .../>
          </saml:SubjectConfirmation>
        </saml:Subject>
        <saml:AttributeStatement>
          <saml:Attribute FriendlyName="USERNAME-ATTRIBUTE" ...>
            <saml:AttributeValue>monalisa</saml:AttributeValue>
          </saml:Attribute>
        </saml:AttributeStatement>
      </saml:Assertion>
    </samlp:Response>
    

Duração da sessão e tempo limite

Para impedir que uma pessoa efetue a autenticação com o seu IdP e permaneça indefinidamente autorizada, GitHub AE invalida periodicamente a sessão para cada conta de usuário com acesso aos recursos da sua empresa. Depois da invalidação, a pessoa deverá efetuar a autenticação com seu IdP novamente. Por padrão, se o seu IdP não verificar um valor para o atributo SessionNotOnOrAfter, GitHub AE invalida uma sessão uma semana após a autenticação bem-sucedida com seu IdP.

Para personalizar a duração da sessão, talvez você possa definir o valor do atributo SessionNotOnOrAfter no seu IdP. Se você definir um valor em menos de 24 horas, GitHub AE poderá solicitar a autenticação das pessoas toda vez que GitHub AE iniciar um redirecionamento.

Atenção:

  • Para Azure AD, a política de tempo de vida configurável para tokens do SAML não controla o tempo limite de sessão para GitHub AE.
  • O Okta não envia atualmente o atributo SessionNotOnOrAfter durante a autenticação do SAML com GitHub AE. Para mais informações, entre em contato com Okta.