Прежде чем выполнить действия, описанные в этой статье, убедитесь, что ваше предприятие использует управляемых пользователей. Это можно сделать, проверив, имеет ли ваше корпоративное представление строку заголовка "Пользователи, управляемые именем учетной записи", в верхней части экрана. Если вы видите это, ваше предприятие использует управляемых пользователей , и вы можете выполнить действия, описанные в этой статье.
Если ваше предприятие использует личная учетная запись, необходимо выполнить другой процесс, чтобы настроить единый вход SAML. См . раздел AUTOTITLE.
О едином входе SAML для Enterprise Managed Users
При использовании Enterprise Managed Usersдоступ к ресурсам вашей организации на GitHub.com или GHE.com необходимо пройти проверку подлинности через поставщика удостоверений (IdP). Вместо входа с помощью GitHub имени пользователя и пароля пользователи вашей организации будут входить с помощью поставщика удостоверений.
После настройки единого входа SAML рекомендуется хранить код восстановления, чтобы вы могли восстановить доступ к вашей организации в случае недоступности поставщика удостоверений.
Необходимые компоненты
-
Изучите требования к интеграции и уровень поддержки поставщика удостоверений.
- GitHub предоставляет интеграцию "проложенный путь" и полную поддержку, если вы используете поставщика удостоверений для проверки подлинности и подготовки.
- Кроме того, можно использовать любую систему или комбинацию систем, соответствующих SAML 2.0 и SCIM 2.0. Однако поддержка устранения проблем с этими системами может быть ограничена.
Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.
-
Поставщик удостоверений должен соответствовать спецификации SAML 2.0. См. вики-сайт SAML на веб-сайте OASIS.
-
У вас должен быть административный доступ клиента к идентификатору поставщика удостоверений.
-
Если вы настраиваете единый вход SAML для нового предприятия, обязательно выполните все предыдущие действия в начальном процессе настройки. См . раздел AUTOTITLE.
Настройка единого входа SAML для Enterprise Managed Users
Чтобы настроить единый вход SAML для корпоративный с управляемыми пользователями, необходимо настроить приложение на поставщике удостоверений, а затем настроить ваше предприятие на GitHub. После настройки единого входа SAML можно настроить подготовку пользователей.
Настройка поставщика удостоверений
-
При использовании поставщика удостоверений партнера для установки приложения GitHub Enterprise Managed User щелкните ссылку для поставщика удостоверений и среды.
Поставщик удостоверений Приложение для GitHub.com Приложение для GHE.com Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User GitHub Enterprise Managed User — ghe.com PingFederate Веб-сайт загрузки PingFederate (перейдите на вкладку "Надстройки ", а затем выберите GitHub Соединитель EMU 1.0) Веб-сайт загрузки PingFederate (перейдите на вкладку "Надстройки ", а затем выберите GitHub Соединитель EMU 1.0) -
Чтобы настроить единый вход SAML для Enterprise Managed Users в поставщике удостоверений партнера, ознакомьтесь с соответствующей документацией по поставщику удостоверений и среде.
Поставщик удостоверений Документация по GitHub.com Документация по GHE.com Microsoft Entra ID Microsoft Learn Microsoft Learn Okta Настройка единого входа SAML в Okta for Enterprise Managed Users Настройка единого входа SAML в Okta for Enterprise Managed Users PingFederate Настройка проверки подлинности и подготовки с помощью PingFederate ("Предварительные требования" и "1". Настройка разделов SAML) Настройка проверки подлинности и подготовки с помощью PingFederate ("Предварительные требования" и "1". Настройка разделов SAML) Кроме того, если вы не используете поставщик удостоверений партнера, можно использовать ссылку на конфигурацию SAML для GitHub Enterprise Cloud для создания и настройки универсального приложения SAML 2.0 в поставщике удостоверений. См . раздел AUTOTITLE.
-
Чтобы протестировать и настроить ваше предприятие, назначьте себе или пользователю, который настроит единый вход SAML для вашего предприятия на GitHub в приложении, настроенном для Enterprise Managed Users в поставщике удостоверений.
Note
Чтобы проверить успешное подключение к проверке подлинности при настройке, необходимо назначить по крайней мере одному пользователю идентификатору поставщика удостоверений.
-
Чтобы продолжить настройку предприятия на GitHub, найдите и запишите следующие сведения из приложения, установленного на вашем idP.
Значение Другие названия Description URL-адрес для входа IdP URL-адрес для входа, URL-адрес для IdP URL-адрес приложения в IdP URL-адрес идентификатора IdP Издатель Идентификатор IdP для поставщиков услуг для проверки подлинности SAML Сертификат для подписи, закодированный с помощью Base64 Общедоступный сертификат Общедоступный сертификат, который IdP использует для подписания запросов на проверку подлинности
Настройка предприятия
После настройки единого входа SAML для Enterprise Managed Users в поставщике удостоверений можно настроить ваше предприятие на GitHub.
После начальной настройки единого входа SAML единственным параметром можно обновить GitHub для существующей конфигурации SAML — сертификат SAML. Если необходимо обновить URL-адрес входа или URL-адрес издателя, необходимо сначала отключить единый вход SAML, а затем перенастроить единый вход SAML с новыми параметрами. Дополнительные сведения см. в разделе Отключение проверки подлинности и подготовка для корпоративных управляемых пользователей.
-
Войдите в качестве пользователя установки для вашей организации с помощью имени пользователя SHORT-CODE_admin, заменив SHORT-CODE коротким кодом вашего предприятия.
Note
Если вам нужно сбросить пароль для пользователя установки, обратитесь к Служба поддержки GitHub через Портал поддержки GitHub. Обычный параметр сброса пароля, указав ваш адрес электронной почты, не будет работать.
-
Если вы используете поставщик удостоверений , отличных от Okta, PingFederate или Entra ID, перед включением SAML необходимо обновить параметр, чтобы настроить SCIM с помощью REST API. См . раздел AUTOTITLE.
-
В правом верхнем углу GitHubщелкните фото профиля, а затем щелкните "Ваше предприятие".
-
В левой части страницы на боковой панели учетной записи предприятия щелкните поставщик удостоверений.
-
В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.
-
В разделе "Единый вход SAML" выберите "Добавить конфигурацию SAML".
-
В разделе URL-адрес входа введите конечную точку HTTPS поставщика удостоверений для запросов единого входа, которые вы указали при настройке поставщика удостоверений.
-
В разделе Издатель введите URL-адрес издателя SAML, который вы записали при настройке своего IdP, чтобы проверить подлинность отправленных сообщений.
-
В разделе Общедоступный сертификат вставьте сертификат, который вы записали при настройке своего IdP, чтобы проверить ответы SAML.
-
В разделе "Общедоступный сертификат" выберите раскрывающиеся меню "Метод подписи" и "Дайджест-метод" и выберите алгоритм хэширования, используемый издателем SAML.
-
Перед включением единого входа SAML для вашего предприятия нажмите Проверить конфигурацию SAML, чтобы убедиться, что введенные сведения верны. В этом тесте используется проверка подлинности, инициированной поставщиком услуг (SP), и она должна быть успешной, прежде чем сохранить параметры SAML.
-
Нажмите кнопку Save SAML settings (Сохранить параметры SAML).
Note
После необходимости единого входа SAML для предприятия и сохранения параметров SAML пользователь установки будет продолжать иметь доступ к организации и останется вошедшим в GitHub вместе с управляемые учетные записи пользователей, подготовленным поставщиком удостоверений, которые также будут иметь доступ к организации.
-
Чтобы обеспечить доступ к вашей организации по-прежнему на GitHub, если ваш идентификатор недоступен в будущем, нажмите кнопку "Скачать ", " Печать" или "Копировать", чтобы сохранить код восстановления. Дополнительные сведения см. в разделе «Скачивание кодов восстановления единого входа для учетной записи предприятия».
Включение подготовки
После включения единого входа SAML включите подготовку. Дополнительные сведения см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.
Включение гостевых участников совместной работы
Вы можете использовать роль гостевого сотрудника для предоставления ограниченного доступа поставщикам и подрядчикам в вашей организации. В отличие от участников предприятия, гостевые сотрудники имеют доступ только к внутренним репозиториям в организациях, где они являются членами.
Если вы используете идентификатор записи или Okta для проверки подлинности SAML, может потребоваться обновить приложение IdP для использования гостевых участников совместной работы. Дополнительные сведения см. в разделе Включение гостевых участников совместной работы.