Skip to main content

Sobre o gerenciamento de identidades e de acesso com o logon único do SAML

Se você gerencia centralmente as identidades e aplicativos dos seus usuários com um provedor de identidade (IdP), você pode configurar o Logon Único (SSO) da Linguagem de Markup de Declaração de Segurança (SAML) para proteger os recursos da sua organização em GitHub.

Observação: para usar o logon único do SAML, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira "Como configurar uma avaliação do GitHub Enterprise Cloud".

Sobre o SAML SSO

O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull.

Se você configurar o SSO do SAML, os membros de sua organização continuarão fazendo logon nas respectivas contas pessoais do GitHub.com. Quando um membro acessa a maioria dos recursos na sua organização, o GitHub o redireciona para seu IdP a fim de realizar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o membro novamente para o GitHub. Para obter mais informações, confira "Sobre a autenticação com logon único de SAML".

Nota: o SSO do SAML não substitui o processo de entrada normal do GitHub. A menos que você use Enterprise Managed Users, os membros continuarão a entrar em suas contas pessoais no GitHub.com e cada conta será vinculada a uma identidade externa em seu IdP.

A autenticação IdP não é necessária para acessar repositórios públicos de determinadas maneiras:

  • Como exibir a página de visão geral do repositório e o conteúdo do arquivo em GitHub
  • Como bifurcar o repositório
  • Como executar operações de leitura por meio do Git, como clonar o repositório

A autenticação é necessária para outro acesso a repositórios públicos, como exibição de problemas, solicitações de pull, projetos e versões.

Observação: a autenticação de SAML não é necessária para colaboradores externos. Para saber mais sobre colaboradores externos, confira "Funções em uma organização".

Os proprietários da organização podem aplicar o SSO do SAML para uma organização individual ou os proprietários corporativos podem aplicar o SSO do SAML para todas as organizações em uma conta corporativa. Para obter mais informações, confira "Sobre o gerenciamento de identidades e acesso" e "Configurar o logon único SAML para sua empresa."

Antes de ativar o SAML SSO para sua organização, é necessário conectar seu IdP à sua organização. Para obter mais informações, confira "Conectar o provedor de identidade à organização".

Para uma organização, o SAML SSO pode ser desabilitado, habilitado, mas não aplicado, ou habilitado e aplicado. Depois de ativar o SSO SAML para a sua organização e os integrantes da sua organização efetuarem a autenticação com sucesso com o seu IdP, você poderá aplicar a configuração SAML SSO. Para obter mais informações sobre como impor o SSO do SAML para sua organização do GitHub, confira "Aplicar logon único de SAML para sua organização".

Os integrantes devem efetuar a autenticação periodicamente com seu IdP para efetuar a autenticação e obter acesso aos recursos da sua organização. A duração desse período de login é especificado pelo seu IdP e geralmente é de 24 horas. Esse requisito de login periódico limita a duração do acesso e exige que os usuários identifiquem-se novamente para continuar.

Para acessar os recursos protegidos da organização que usam a API e o Git na linha de comando, os integrantes devem autorizar e efetuar a autenticação com um personal access token ou chave SSH. Para obter mais informações, confira "Autorizar o uso de um token de acesso pessoal para uso com logon único SAML" e "Autorizar o uso de uma chave SSH para uso com logon único SAML."

Na primeira vez que um integrante utiliza o SSO de SAML para acessar sua organização, GitHub cria automaticamente um registro que vincula a sua organização, a conta do integrante no GitHub.com e a conta do integrante no seu IdP. Você pode visualizar e revogar a identidade de SAML vinculada, as sessões ativas e credenciais autorizadas para integrantes da sua empresa ou conta corporativa. Para obter mais informações, confira "Exibir e gerenciar o acesso SAML de um membro à organização" e "Visualizar e gerenciar o acesso SAML de um usuário à sua empresa."

Se os integrantes estiverem conectados com uma sessão SAML SSO, ao criarem um novo repositório, a visibilidade-padrão desse repositório será privada. Caso contrário, a visibilidade-padrão será pública. Para obter mais informações sobre a visibilidade do repositório, confira "Sobre repositórios".

Os integrantes da organização também devem ter uma sessão de SAML ativa para autorizar um OAuth app. Você pode optar por não participar deste requisito entrando em contato com conosco por meio do Portal de suporte do GitHub. GitHub Enterprise Cloud não recomenda a exclusão deste requisito, o que irá expor sua organização a um maior risco de aquisições de conta e perda potencial de dados.

GitHub Enterprise Cloud não é compatível com o logout único SAML. Para finalizar uma sessão do SAML ativa, os usuários devem efetuar o logout diretamente no seu IdP do SAML.

Serviços SAML compatíveis

GitHub Enterprise Cloud é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS) da Microsoft
  • Microsoft Entra ID (anteriormente conhecida como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Alguns IdPs são compatíveis com o o provisionamento de acesso a uma organização GitHub via SCIM. Para obter mais informações, confira "Sobre o SCIM para organizações".

Você não pode usar essa implementação do SCIM com uma conta corporativa ou com uma organização com usuários gerenciados. Se a sua empresa estiver habilitada para Enterprise Managed Users, você deverá usar uma implementação diferente do SCIM. Caso contrário, o SCIM não estará disponível no nível empresarial. Para obter mais informações, confira "Configurando o provisionamento de SCIM para usuários gerenciados pela empresa".

Adicionar integrantes a uma organização usando SAML SSO

Depois de habilitar o SSO do SAML, há várias maneiras de adicionar membros à organização. Os proprietários da organização podem convidar novos integrantes manualmente no GitHub Enterprise Cloud ou usando a API. Para obter mais informações, confira "Como convidar usuários para ingressar em sua organização" e "Pontos de extremidade de API REST para organizações."

Para provisionar novos usuários sem o convite de um proprietário da organização, você pode usar a URL https://github.com/orgs/ORGANIZATION/sso/sign_up, substituindo ORGANIZATION pelo nome da sua organização. Por exemplo, é possível configurar o IdP para que qualquer pessoa que tenha acesso possa clicar em um link no painel do IdP para ingressar na sua organização do GitHub.

Observação: o provisionamento de novos usuários por meio do https://github.com/orgs/ORGANIZATION/sso/sign_up só tem suporte quando o SSO de SAML é configurado no nível da organização, não quando o SSO de SAML é configurado no nível da conta corporativa. Para obter mais informações sobre o SSO de SAML para contas corporativas, confira "Sobre SAML para IAM empresarial".

Se o seu IdP é compatível com o SCIM, o GitHub poderá convidar automaticamente integrantes para participarem da sua organização ao conceder acesso no seu IdP. Se você remover o acesso de um integrante à organização do seu GitHub no seu IdP de SAML, o integrante será removido automaticamente da organização de GitHub. Para obter mais informações, confira "Sobre o SCIM para organizações".

Você pode usar a sincronização da equipe para automaticamente adicionar às equipes ou remover delas membros da organização por meio de um provedor de identidade. Para obter mais informações, confira "Como sincronizar uma equipe com um grupo de provedores de identidade".

Leitura adicional