Nota: O provisionamento de usuários para organizações em contas corporativas, atualmente compatível apenas com Okta, está em versão beta privada e está sujeito a alterações. Para solicitar acesso ao beta, contact our account management team (entre em contato com nossa equipe de gerenciamento de conta).
Sobre SAML e SCIM com Okta
Você pode controlar o acesso à conta corporativa no GitHub e em outros aplicativos web, a partir de uma interface central, configurando a conta corporativa para usar SAML SSO e SCIM com Okta, um provedor de identidade (IdP).
O SAML SSO controla e protege o acesso a recursos da conta corporativa, como, por exemplo, organizações, repositórios, problemas e pull requests. O SCIM adiciona, gerencia e remove automaticamente o acesso dos membros a organizações que pertencem à sua conta corporativa ao fazer alterações no Okta. Para obter mais informações, consulte "Aplicar as configurações de segurança na conta corporativa".
Após ativar o SCIM, os seguintes recursos de provisionamento estarão disponíveis para qualquer usuário ao qual você atribuir seu aplicativo do GitHub Enterprise Cloud no Okta.
Funcionalidade | Descrição |
---|---|
Fazer push de novos usuários | Os novos usuários criados no Okta terão acesso aos recursos da conta corporativa e, opcionalmente, poderão ser convidados automaticamente para qualquer uma das organizações que pertencem à conta corporativa |
Fazer push de desativações de usuário | Desativar um usuário no Okta irá revogar o acesso do usuário aos recursos da conta corporativa e removê-lo de todas as organizações que pertencem a essa conta |
Fazer push das atualização de perfil | As atualizações feitas no perfil do usuário no Okta serão enviadas para os metadados da conta corporativa do usuário |
Reativar usuários | Reativar o usuário no Okta permitirá o acesso do usuário à conta corporativa e, opcionalmente, enviará convites por e-mail para que o usuário para juntar-se novamente a qualquer uma das organizações pertencentes à conta corporativa da qual o usuário era anteriormente integrante |
Pré-requisitos
Você deve usar a "Interface Clássica" no Okta. Para obter mais informações, consulte Navegação Organizada no blog do Okta.
Adicionar o aplicativo GitHub Enterprise Cloud no Okta
- No Okta, no canto superior direito, clique em Admin.
- No painel do Okta, clique em Aplicativos.
- Clique em Adicionar aplicativo.
- No campo de busca, digite "GitHub Enterprise Cloud".
- Clique em "GitHub Enterprise Cloud - Contas corporativas".
- Clique em Salvar.
- Opcionalmente, à direita do "Etiqueta do aplicativo", digite um nome descritivo para o aplicativo.
- À direita da "Empresas de GitHub", digite o nome da conta corporativa. Por exemplo, se a URL da conta corporativa for
https://github.com/enterprises/octo-corp
, digiteocto-corp
. - Clique em Cpncluído.
Habilitar e e testar o SAML SSO
- No Okta, no canto superior direito, clique em Admin.
- No painel do Okta, clique em Aplicativos.
- Clique na etiqueta para o aplicativo que você criou para a sua conta corporativa.
- Atribua o aplicativo ao seu usuário no Okta. Para obter mais informações, consulte Atribuir aplicativos aos usuários na documentação do Okta.
- No nome do aplicativo, clique em Iniciar sessão.
- À direita das configurações, clique em Editar.
- Em "Atributos de SAML configurados", à direita de "grupos", use o menu suspenso e selecione Correspondências de regex.
- À direita do menu suspenso, digite
.*.*
. - Clique em Salvar.
- Em "MÉTODOS DO INÍCIO DE SESSÃO", clique em Ver instruções de instalação.
- Habilite o SAML para a conta corporativa usando as informações nas instruções de configuração. Para obter mais informações, consulte "Habilitar o logon único SAML para organizações na conta corporativa".
Criar grupos no Okta
- No Okta, crie um grupo para corresponder a cada organização pertencente à conta corporativa. O nome de cada grupo deve corresponder ao nome da conta da organização (não ao nome de exibição da organização). Por exemplo, se a URL da organização for
https://github.com/octo-org
, nomeie o grupoocto-org
. - Atribua o aplicativo que você criou para a sua conta corporativa a cada grupo. GitHub receberá todos os
grupos
de dados para cada usuário. - Adicione usuários a grupos baseados nas organizações às quais você deseja que os usuários pertençam.
Configurar o provisionamento do usuário com SCIM no Okta
Se você estiver participando do beta privado para o provisionamento de contas corporativas, ao habilitar o SAML para a sua conta corporativa, o provisionamento e desprovisionamento do SCIM é habilitado por padrão em GitHub. Você pode usar o provisionamento para gerenciar a associação à organização, configurando o SCIM no seu IdP.
Para configurar o provisionamento de usuário com SCIM no Okta, você deverá autorizar um aplicativo OAuth para criar um token que o Okta pode usar para efetuar a autenticação no GitHub em seu nome. O aplicativo okta-oauth é criado pelo Okta em parceria com GitHub.
- No Okta, no canto superior direito, clique em Admin.
- No painel do Okta, clique em Aplicativos.
- Clique na etiqueta para o aplicativo que você criou para a sua conta corporativa.
- No nome do aplicativo, clique em Provisionamento.
- Clique em Configurar a Integração da API.
- Selecione Habilitar a integração da API.
- Clique em Efetuar a autenticação com Github Enterprise Cloud - Contas corporativas.
- À direita do nome da conta corporativa, clique em Conceder.
- Clique em Autorizar okta-oauth.
- Clique em Salvar.
- À direita do "Provisionamento para o App", clique em Editar.
- À direita de "Criar usuários", selecione Habilitar.
- À direita de "Atualizar Atributos do Usuário", selecione Habilitar.
- À direita de "Desativar Usuários", selecione Habilitar.
- Clique em Salvar.
- No nome do aplicativo, clique em Grupos de push.
- Use o menu suspenso Grupos de push e selecione Encontrar grupos por nome.
- Adicione um grupo de push para cada organização na sua conta corporativa para a qual você deseja habilitar o provisionamento de usuários.
- Em "GRUPOS DE PUSH POR NOME", pesquise um grupo que corresponde a uma organização que pertence à sua conta corporativa e, em seguida, clique no grupo nos resultados da pesquisa.
- À direita do nome do grupo, no menu suspenso "Corresponder resultados & ação de push", verifique se a opção Criar Grupo está selecionada.
- Clique em Salvar.
- Repita o procedimento para cada organização.
- No nome do seu aplicativo, clique em Atribuições.
- Se você vir Provisões de usuários, usuários que eram integrantes de um grupo do Okta antes de você adicionar um grupo de push para esse grupo, não foram fornecidos. Para enviar os dados do SCIM para GitHub para esses usuários, clique em Provisionar usuários.
Habilitar o SAML usando o provisionamento de usuário
Depois de habilitar o provisionamento e desprovisionamento do SCIM, você pode habilitar, opcionalmente, o provisionamento e desprovisionamento do usuário de SAML.
-
No canto superior direito de GitHub, clique na sua foto de perfil e, em seguida, clique em Suas empresas.
-
Na lista de empresas, clique na empresa que você deseja visualizar.
-
Na barra lateral da conta corporativa, clique em Settings.
-
Na barra lateral esquerda, clique em Security (Segurança).
-
Em "Provisionamento de usuários de SAML", selecione Habilitar provisionamento de usuário de SAML.
-
Clique em Salvar.
-
Opcionalmente, habilite o desprovisionamento do usuário de SAML.
- Selecione Habilitar o desprovisionamento do usuário de SAML e, em seguida, clique em Salvar.
- Leia o aviso e clique em Habilitar o desprovisionamento de SAML.
- Selecione Habilitar o desprovisionamento do usuário de SAML e, em seguida, clique em Salvar.