Примечание. Если в вашем предприятии используется Enterprise Managed Users, для настройки единого входа SAML применяется другой процесс. Дополнительные сведения см. в разделе Настройка единого входа SAML для приложения Enterprise Managed Users.
Сведения о едином входе SAML
Единый вход SAML предоставляет владельцам организаций и предприятий на GitHub Enterprise Cloud способ управления доступом и защиты ресурсов организации, таких как репозитории, проблемы и запросы на вытягивание.
Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда участник обращается к большинству ресурсов в организации, GitHub перенаправляет участника к поставщику удостоверений для проверки подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа SAML.
Примечание. Единый вход с помощью SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.
Дополнительные сведения см. в разделе Сведения об управлении удостоверениями и доступом с помощью единого входа SAML.
Владельцы предприятий могут включить единый вход SAML и централизованную проверку подлинности с помощью поставщика удостоверений SAML во всех организациях, принадлежащих корпоративной учетной записи. После того как вы включите единый вход через SAML для корпоративной учетной записи, он будет включен по умолчанию для всех организаций, принадлежащих вашей корпоративной учетной записи. Все члены должны будут выполнять аутентификацию с использованием единого входа через SAML, чтобы получить доступ к своим организациям, а владельцы корпоративных учетных записей должны будут выполнять такую аутентификацию при входе в свою учетную запись.
Чтобы получить доступ к ресурсам организации в GitHub Enterprise Cloud, в браузере у участника должен быть активный сеанс SAML. Чтобы получить доступ к защищенным ресурсам каждой организации с помощью API и Git, участник должен использовать personal access token или ключ SSH, который участник авторизовал для использования в организации. Владельцы предприятия могут просматривать и отзывать связанное удостоверение участника, активные сеансы или авторизованные учетные данные в любое время. Дополнительные сведения см. в разделе Просмотр сведений о SAML-доступе пользователей к предприятию и управление ими.
Если единый вход SAML отключен, все связанные внешние удостоверения удаляются из GitHub Enterprise Cloud.
После включения единого входа SAML для доступа к организации может потребоваться отозвать и повторно авторизовать авторизацию OAuth App и GitHub App. Дополнительные сведения см. в разделе Авторизация OAuth Apps.
Поддерживаемые поставщики удостоверений
GitHub Enterprise Cloud поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.
GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.
- Службы федерации Active Directory (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Рекомендации по использованию имен пользователей в SAML
Если вы используете Enterprise Managed Users, GitHub Enterprise Cloud нормализует значение из IdP для определения имени пользователя для каждой новой личной учетной записи в вашем предприятии на GitHub.com. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.
Принудительное применение единого входа SAML для организаций в корпоративной учетной записи
При принудительном применении единого входа SAML для вашего предприятия конфигурация предприятия переопределит все существующие конфигурации SAML на уровне организаций. Если при включении единого входа SAML для вашей корпоративной учетной записи у какой-либо из принадлежащих ей организаций уже настроено использование единого входа SAML, следует принять во внимание особые требования. Дополнительные сведения см. в разделе Переключение конфигурации SAML с организации на корпоративную учетную запись.
При принудительном применении единого входа SAML для организации GitHub удаляет всех участников организации, которые не прошли проверку подлинности с помощью поставщика удостоверений SAML. Когда вы требуете для вашего предприятия единый вход SAML, GitHub не удаляет участников предприятия, которые не прошли проверку подлинности с помощью поставщика удостоверений SAML. При следующем доступе к ресурсам предприятия участник должен пройти проверку подлинности с помощью поставщика удостоверений SAML.
Дополнительные сведения о включении SAML с помощью Okta см. в разделе Настройка единого входа SAML для корпоративной учетной записи с помощью Okta.
-
В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.
-
В списке предприятий щелкните предприятие, которое требуется просмотреть.
-
На боковой панели корпоративной учетной записи щелкните Параметры.
-
На левой боковой панели щелкните Безопасность проверки подлинности.
параметров корпоративной учетной записи
-
При необходимости, чтобы просмотреть текущую конфигурацию для всех организаций в корпоративной учетной записи перед изменением параметра, щелкните Просмотр текущих конфигураций организаций.
-
В разделе "Единый вход SAML" выберите Требовать проверку подлинности SAML.
-
В поле URL-адрес входа введите конечную точку HTTPS поставщика удостоверений для запросов единого входа. Это значение доступно в конфигурации поставщика удостоверений.
-
При необходимости в поле Издатель введите URL-адрес издателя SAML для проверки подлинности отправляемых сообщений.
-
В поле Открытый сертификат вставьте сертификат для проверки ответов SAML.
-
Чтобы проверить целостность запросов от издателя SAML, нажмите значок . Затем в раскрывающихся списках "Метод подписи" и "Метод дайджеста" выберите хэш-алгоритм, используемый издателем SAML.
-
Перед включением единого входа SAML для вашего предприятия щелкните Проверить конфигурацию SAML, чтобы убедиться, что введены правильные сведения.
-
Выберите команду Сохранить.
-
Чтобы обеспечить доступ к организации в случае, если поставщик удостоверений станет недоступен в будущем, нажмите кнопку Скачать, Печать или Копировать, чтобы сохранить коды восстановления. Дополнительные сведения см. в статье Скачивание кодов восстановления единого входа для корпоративной учетной записи.