Настройка OIDC для Управляемых пользователей Enterprise

Вы можете автоматически управлять доступом к корпоративной учетной записи в GitHub, настроив единый вход OpenID Connect (OIDC) и включения поддержки политики условного доступа (CAP) поставщика удостоверений.

Кто эту функцию можно использовать?

Чтобы управлять пользователями в организации с помощью поставщика удостоверений, ваше предприятие должно быть включено для Enterprise Managed Users, доступной с GitHub Enterprise Cloud. Дополнительные сведения см. в разделе "Сведения о Enterprise Managed Users".

В этой статье

Примечание. Поддержка openID Подключение (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).

Сведения об OIDC для Управляемых пользователей Enterprise

Используя Enterprise Managed Users, ваше предприятие сможет применять поставщик удостоверений (IdP) для проверки подлинности всех участников. Для управления проверкой подлинности для корпоративный с управляемыми пользователямиможно использовать openID Подключение (OIDC). Включение единого входа OIDC — это процесс настройки одним щелчком мыши, при котором сертификатами управляет GitHub и ваш IdP.

Когда ваше предприятие использует единый вход OIDC, GitHub автоматически будет использовать условия условного доступа поставщика удостоверений (CAP) для проверки взаимодействий с GitHub при изменении IP-адресов и для каждой проверки подлинности с помощью personal access token или ключа SSH, связанного с учетной записью пользователя. Дополнительные сведения см. в разделе "Сведения о поддержке политики условного доступа поставщика удостоверений".

Вы можете настроить время существования сеанса и как часто управляемая учетная запись пользователя необходимо повторно выполнить проверку подлинности с помощью поставщика удостоверений, изменив свойство политики времени существования маркеров идентификатора, выданных для GitHub от поставщика удостоверений. Время существования по умолчанию составляет один час. Дополнительные сведения см. в разделе "Настройка политик времени существования маркеров" в Microsoft Learn.

Примечание. Если вам нужна помощь по настройке времени существования сеанса OIDC, обратитесь служба поддержки Майкрософт.

Предупреждение. Если вы используете GitHub Enterprise Importer для переноса организации из экземпляр GitHub Enterprise Server, обязательно используйте учетную запись службы, которая исключена из CAP идентификатора записи, в противном случае миграция может быть заблокирована.

Поддержка поставщиков удостоверений

Поддержка OIDC доступна для клиентов с помощью идентификатора Entra.

Каждый клиент идентификатора записи может поддерживать только одну интеграцию OIDC с Enterprise Managed Users. Если вы хотите подключить идентификатор Записи к нескольким предприятиям на GitHub, используйте SAML. Дополнительные сведения см. в разделе Настройка единого входа SAML для управляемых пользователей GitHub Enterprise.

OIDC не поддерживает аутентификацию, инициированную поставщиком удостоверений.

Настройка OIDC для Управляемых пользователей Enterprise

  1. Войдите в GitHub.com в качестве пользователя установки для нового предприятия с именем пользователя @SHORT-CODE_admin.

  2. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.

  3. В списке предприятий щелкните предприятие, которое требуется просмотреть.

  4. На боковой панели учетной записи предприятия щелкните Параметры.

  5. В разделе Параметры нажмите кнопку "Безопасность проверки подлинности".

  6. В разделе "OpenID Подключение единый вход" выберите "Требовать единый вход OIDC".

  7. Чтобы продолжить настройку и перенаправляться на идентификатор Записи, нажмите кнопку "Сохранить".

  8. После того как GitHub Enterprise Cloud перенаправляет вас на идентификатор поставщика удостоверений, войдите в систему, а затем следуйте инструкциям, чтобы дать согласие и установить приложение GitHub Enterprise Managed User (OIDC). После того как идентификатор записи запрашивает разрешения для GitHub Enterprise Managed Users с помощью OIDC, включите согласие от имени вашей организации, а затем нажмите кнопку "Принять".

    Предупреждение. Для предоставления согласия на установку приложения GitHub Enterprise Managed User (OIDC) необходимо войти в приложение Entra ID с правами глобального администратора.

  9. Чтобы убедиться, что вы по-прежнему можете получить доступ к вашей организации на GitHub.com, если ваш идентификатор недоступен в будущем, нажмите кнопку "Скачать ", " Печать" или "Копировать", чтобы сохранить код восстановления. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

  10. Нажмите кнопку "Включить проверку подлинности OIDC".

Включение подготовки

После включения единого входа OIDC включите подготовку. Дополнительные сведения см. в разделе Настройка подготовки SCIM для Enterprise Managed Users.

Включение гостевых участников совместной работы

Вы можете использовать роль гостевого сотрудника для предоставления ограниченного доступа поставщикам и подрядчикам в вашей организации. В отличие от участников предприятия, гостевые сотрудники имеют доступ только к внутренним репозиториям в организациях, где они являются членами.

Чтобы использовать гостевые сотрудники с проверкой подлинности OIDC, может потребоваться обновить параметры в идентификаторе Записи. Дополнительные сведения см. в разделе Включение гостевых участников совместной работы.