Настройка OIDC для Управляемых пользователей Enterprise

Узнайте, как автоматически управлять доступом к учетной записи предприятия на GitHub путем настройки единого входа OpenID Connect (OIDC) и включения поддержки политики условного доступа поставщика удостоверений (CAP).

Кто может использовать эту функцию?

Enterprise Managed Users доступен для новых корпоративных учетных записей на GitHub Enterprise Cloud. См. раздел "Сведения о Enterprise Managed Users".

В этой статье

Note

Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).

Сведения об OIDC для Управляемых пользователей Enterprise

Используя Enterprise Managed Users, ваше предприятие сможет применять поставщик удостоверений (IdP) для проверки подлинности всех участников. С помощью OpenID Connect (OIDC) можно управлять проверкой подлинности для корпоративный с управляемыми пользователями. Включение единого входа OIDC — это процесс настройки одним щелчком мыши, при котором сертификатами управляет GitHub и ваш IdP.

Если ваше предприятие использует единый вход OIDC, GitHub автоматически будет использовать условия условного доступа поставщика удостоверений (CAP) для проверки взаимодействия с GitHub при использовании веб-интерфейса или изменении IP-адресов, а также для каждой проверки подлинности с помощью ключа personal access token или SSH, связанного с учетной записью пользователя. См. раздел "Сведения о поддержке политики условного доступа поставщика удостоверений".

Note

Защита CAP для веб-сеансов в настоящее время находится в public preview и может измениться.

Новые предприятия, которые включают поддержку IDP CAP после 5 ноября 2024 г., будут иметь защиту для веб-сеансов, включенных по умолчанию.

Существующие предприятия, которые уже включили поддержку idP CAP, могут отказаться от расширенной защиты веб-сеансов из параметров безопасности проверки подлинности предприятия.

Вы можете настроить время существования сеанса и как часто управляемая учетная запись пользователя необходимо повторно выполнить проверку подлинности с помощью поставщика удостоверений, изменив свойство политики времени существования маркеров идентификатора, выданных для GitHub от поставщика удостоверений. Время существования по умолчанию составляет один час. См. статью "Настройка политик времени существования маркеров" в документации Майкрософт.

Чтобы изменить свойство политики времени существования, вам потребуется идентификатор объекта, связанный с данными Enterprise Managed Users OIDC. См. раздел "Поиск идентификатора объекта для приложения Entra OIDC".

Note

Если вам нужна помощь по настройке времени существования сеанса OIDC, обратитесь к служба поддержки Майкрософт.

Warning

Если вы используете GitHub Enterprise Importer для переноса организации из экземпляр GitHub Enterprise Server, обязательно используйте учетную запись службы, которая исключена из capa ID в противном случае миграция может быть заблокирована.

Поддержка поставщиков удостоверений

Поддержка OIDC доступна для клиентов с помощью идентификатора Entra.

Каждый клиент идентификатора записи может поддерживать только одну интеграцию OIDC с Enterprise Managed Users. Если вы хотите подключить идентификатор Записи к нескольким предприятиям на GitHub, используйте SAML. См. раздел "Настройка единого входа SAML для управляемых пользователей GitHub Enterprise".

OIDC не поддерживает аутентификацию, инициированную поставщиком удостоверений.

Настройка OIDC для Управляемых пользователей Enterprise

  1. Войдите в GitHub в качестве пользователя установки для нового предприятия с именем пользователя @SHORT-CODE_admin.

  2. В правом верхнем углу GitHubщелкните фото профиля, а затем щелкните "Ваше предприятие".

  3. В левой части страницы на боковой панели учетной записи предприятия щелкните поставщик удостоверений.

  4. В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.

  5. В разделе "Единый вход OIDC" выберите включить конфигурацию OIDC.

  6. Чтобы продолжить настройку и перенаправляться на идентификатор Записи, нажмите кнопку "Сохранить".

  7. После того как GitHub Enterprise Cloud перенаправляет вас на идентификатор поставщика удостоверений, войдите в систему, а затем следуйте инструкциям, чтобы дать согласие и установить приложение GitHub Enterprise Managed User (OIDC). После того как идентификатор записи запрашивает разрешения для GitHub Enterprise Managed Users с помощью OIDC, включите согласие от имени вашей организации, а затем нажмите кнопку "Принять".

    Warning

    Для предоставления согласия на установку приложения GitHub Enterprise Managed User (OIDC) необходимо войти в систему в качестве пользователя с правами глобального администратора.

  8. Чтобы обеспечить доступ к вашей организации по-прежнему на GitHub, если ваш идентификатор недоступен в будущем, нажмите кнопку "Скачать ", " Печать" или "Копировать", чтобы сохранить код восстановления. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

  9. Нажмите кнопку "Включить проверку подлинности OIDC".

Включение подготовки

После включения единого входа OIDC включите подготовку. См. раздел "Настройка подготовки SCIM for Enterprise Managed Users".

Включение гостевых участников совместной работы

Вы можете использовать роль гостевого сотрудника для предоставления ограниченного доступа поставщикам и подрядчикам в вашей организации. В отличие от участников предприятия, гостевые сотрудники имеют доступ только к внутренним репозиториям в организациях, где они являются членами.

Чтобы использовать гостевые сотрудники с проверкой подлинности OIDC, может потребоваться обновить параметры в идентификаторе Записи. См. раздел "Включение гостевых участников совместной работы".