Примечание. Если в вашем предприятии используется Enterprise Managed Users, для настройки единого входа SAML применяется другой процесс. Дополнительные сведения см. в разделе Настройка единого входа SAML для управляемых пользователей GitHub Enterprise.
Сведения о едином входе SAML
Единый вход SAML предоставляет владельцам организаций и предприятий на GitHub Enterprise Cloud способ управления доступом и защиты ресурсов организации, таких как репозитории, проблемы и запросы на вытягивание.
Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда участник обращается к большинству ресурсов в организации, GitHub перенаправляет участника к поставщику удостоверений для проверки подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа SAML.
Примечание. Единый вход с помощью SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.
Дополнительные сведения см. в разделе Об управлении удостоверениями и доступом с помощью единого входа SAML.
Владельцы предприятий могут включить единый вход SAML и централизованную проверку подлинности с помощью поставщика удостоверений SAML во всех организациях, принадлежащих корпоративной учетной записи. После того как вы включите единый вход через SAML для корпоративной учетной записи, он будет включен по умолчанию для всех организаций, принадлежащих вашей корпоративной учетной записи. Все члены должны будут выполнять аутентификацию с использованием единого входа через SAML, чтобы получить доступ к своим организациям, а владельцы корпоративных учетных записей должны будут выполнять такую аутентификацию при входе в свою учетную запись.
Чтобы получить доступ к ресурсам организации в GitHub Enterprise Cloud, в браузере у участника должен быть активный сеанс SAML. Чтобы получить доступ к защищенным ресурсам каждой организации с помощью API и Git, участник должен использовать personal access token или ключ SSH, который участник разрешил использовать в организации. Владельцы предприятия могут просматривать и отзывать связанное удостоверение участника, активные сеансы или авторизованные учетные данные в любое время. Дополнительные сведения см. в разделе Просмотр сведений о SAML-доступе пользователей к предприятию и управление ими.
Примечание: ScIM нельзя настроить для корпоративной учетной записи, если только ваша учетная запись не была создана для Enterprise Managed Users. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.
Если вы не используете Enterprise Managed Users и хотите использовать подготовку SCIM, необходимо настроить единый вход SAML на уровне организации, а не на уровне предприятия. Дополнительные сведения см. в разделе Об управлении удостоверениями и доступом с помощью единого входа SAML.
Если единый вход SAML отключен, все связанные внешние удостоверения удаляются из GitHub Enterprise Cloud.
После включения единого входа SAML авторизацию OAuth App и GitHub App может потребоваться отозвать и повторно авторизовать, прежде чем они смогут получить доступ к организации. Дополнительные сведения см. в разделе Авторизация приложений OAuth.
Поддерживаемые поставщики удостоверений
GitHub Enterprise Cloud поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.
GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.
- Службы федерации Active Directory (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Рекомендации по использованию имен пользователей в SAML
Если вы используете Enterprise Managed Users, GitHub Enterprise Cloud нормализует значение из IdP для определения имени пользователя для каждой новой личной учетной записи в организации на GitHub.com. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.
Принудительное применение единого входа SAML для организаций в корпоративной учетной записи
При принудительном применении единого входа SAML для вашего предприятия конфигурация предприятия переопределит все существующие конфигурации SAML на уровне организаций. Если при включении единого входа SAML для вашей корпоративной учетной записи у какой-либо из принадлежащих ей организаций уже настроено использование единого входа SAML, следует принять во внимание особые требования. Дополнительные сведения см. в разделе Переключение конфигурации SAML из организации на корпоративную учетную запись.
При принудительном применении единого входа SAML для организации GitHub удаляет всех участников организации, которые не прошли проверку подлинности с помощью поставщика удостоверений SAML. Когда вы требуете для вашего предприятия единый вход SAML, GitHub не удаляет участников предприятия, которые не прошли проверку подлинности с помощью поставщика удостоверений SAML. При следующем доступе к ресурсам предприятия участник должен пройти проверку подлинности с помощью поставщика удостоверений SAML.
Дополнительные сведения о том, как включить SAML с помощью Okta, см. в разделе Настройка единого входа SAML для предприятия с помощью Okta.
-
В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия.
-
В списке предприятий щелкните предприятие, которое требуется просмотреть.
-
На боковой панели корпоративной учетной записи щелкните Параметры.
-
В разделе параметров щелкните Безопасность проверки подлинности.
-
При необходимости, чтобы просмотреть текущую конфигурацию для всех организаций в корпоративной учетной записи перед изменением параметра, щелкните Просмотреть текущие конфигурации организации.
-
В разделе "Единый вход SAML" выберите Требовать проверку подлинности SAML.
-
В поле URL-адрес входа введите конечную точку HTTPS поставщика удостоверений для запросов единого входа. Это значение доступно в конфигурации поставщика удостоверений.
-
При необходимости в поле Издатель введите URL-адрес издателя SAML для проверки подлинности отправляемых сообщений.
-
В поле Открытый сертификат вставьте сертификат для проверки ответов SAML.
-
В общедоступном сертификате справа от текущей сигнатуры и методов дайджеста щелкните .
-
Выберите раскрывающиеся меню Метод подписи и Дайджест-метод , а затем щелкните алгоритм хэширования, используемый издателем SAML.
-
Перед включением единого входа SAML для вашего предприятия щелкните Проверить конфигурацию SAML, чтобы убедиться, что введены правильные сведения.
-
Выберите команду Сохранить.
-
Чтобы обеспечить доступ к организации в случае, если поставщик удостоверений станет недоступен в будущем, нажмите кнопку Скачать, Печать или Копировать, чтобы сохранить коды восстановления. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.