Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.

Настройка единого входа SAML для предприятия

В этой статье

Вы можете контролировать и защищать доступ к ресурсам , таким как репозитории, проблемы, и запросы на вытягивание в организациях предприятия от принудительно единого входа SAML через поставщика удостоверений (IdP).

Кто может использовать эту функцию

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Примечание. Если в вашем предприятии используется Enterprise Managed Users, для настройки единого входа SAML применяется другой процесс. Дополнительные сведения см. в разделе Настройка единого входа SAML для приложения Enterprise Managed Users.

Сведения о едином входе SAML

Единый вход SAML предоставляет владельцам организаций и предприятий на GitHub Enterprise Cloud способ управления доступом и защиты ресурсов организации, таких как репозитории, проблемы и запросы на вытягивание.

Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда участник обращается к большинству ресурсов в организации, GitHub перенаправляет участника к поставщику удостоверений для проверки подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа SAML.

Примечание. Единый вход с помощью SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.

Дополнительные сведения см. в разделе Сведения об управлении удостоверениями и доступом с помощью единого входа SAML.

Владельцы предприятий могут включить единый вход SAML и централизованную проверку подлинности с помощью поставщика удостоверений SAML во всех организациях, принадлежащих корпоративной учетной записи. После того как вы включите единый вход через SAML для корпоративной учетной записи, он будет включен по умолчанию для всех организаций, принадлежащих вашей корпоративной учетной записи. Все члены должны будут выполнять аутентификацию с использованием единого входа через SAML, чтобы получить доступ к своим организациям, а владельцы корпоративных учетных записей должны будут выполнять такую аутентификацию при входе в свою учетную запись.

Чтобы получить доступ к ресурсам организации в GitHub Enterprise Cloud, в браузере у участника должен быть активный сеанс SAML. Чтобы получить доступ к защищенным ресурсам каждой организации с помощью API и Git, участник должен использовать personal access token или ключ SSH, который участник авторизовал для использования в организации. Владельцы предприятия могут просматривать и отзывать связанное удостоверение участника, активные сеансы или авторизованные учетные данные в любое время. Дополнительные сведения см. в разделе Просмотр сведений о SAML-доступе пользователей к предприятию и управление ими.

Если единый вход SAML отключен, все связанные внешние удостоверения удаляются из GitHub Enterprise Cloud.

После включения единого входа SAML для доступа к организации может потребоваться отозвать и повторно авторизовать авторизацию OAuth App и GitHub App. Дополнительные сведения см. в разделе Авторизация OAuth Apps.

Поддерживаемые поставщики удостоверений

GitHub Enterprise Cloud поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.

  • Службы федерации Active Directory (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Рекомендации по использованию имен пользователей в SAML

Если вы используете Enterprise Managed Users, GitHub Enterprise Cloud нормализует значение из IdP для определения имени пользователя для каждой новой личной учетной записи в вашем предприятии на GitHub.com. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.

Принудительное применение единого входа SAML для организаций в корпоративной учетной записи

При принудительном применении единого входа SAML для вашего предприятия конфигурация предприятия переопределит все существующие конфигурации SAML на уровне организаций. Если при включении единого входа SAML для вашей корпоративной учетной записи у какой-либо из принадлежащих ей организаций уже настроено использование единого входа SAML, следует принять во внимание особые требования. Дополнительные сведения см. в разделе Переключение конфигурации SAML с организации на корпоративную учетную запись.

При принудительном применении единого входа SAML для организации GitHub удаляет всех участников организации, которые не прошли проверку подлинности с помощью поставщика удостоверений SAML. Когда вы требуете для вашего предприятия единый вход SAML, GitHub не удаляет участников предприятия, которые не прошли проверку подлинности с помощью поставщика удостоверений SAML. При следующем доступе к ресурсам предприятия участник должен пройти проверку подлинности с помощью поставщика удостоверений SAML.

Дополнительные сведения о включении SAML с помощью Okta см. в разделе Настройка единого входа SAML для корпоративной учетной записи с помощью Okta.

  1. В правом верхнем углу GitHub.com щелкните фотографию профиля и выберите Ваши предприятия. Раздел "Ваши предприятия" в раскрывающемся меню для фотографии профиля в GitHub Enterprise Cloud

  2. В списке предприятий щелкните предприятие, которое требуется просмотреть. Название предприятия в списке ваших предприятий

  3. На боковой панели корпоративной учетной записи щелкните Параметры. Вкладка "Параметры" на боковой панели корпоративной учетной записи

  4. На левой боковой панели щелкните Безопасность проверки подлинности. **Вкладка Безопасность** на боковой панели параметров корпоративной учетной записи

  5. При необходимости, чтобы просмотреть текущую конфигурацию для всех организаций в корпоративной учетной записи перед изменением параметра, щелкните Просмотр текущих конфигураций организаций. Ссылка для просмотра текущей конфигурации политики для организаций в бизнесе

  6. В разделе "Единый вход SAML" выберите Требовать проверку подлинности SAML. Флажок для включения единого входа SAML

  7. В поле URL-адрес входа введите конечную точку HTTPS поставщика удостоверений для запросов единого входа. Это значение доступно в конфигурации поставщика удостоверений. Поле для URL-адреса, на который участники будут переадресованы при входе

  8. При необходимости в поле Издатель введите URL-адрес издателя SAML для проверки подлинности отправляемых сообщений. Поле для имени издателя SAML

  9. В поле Открытый сертификат вставьте сертификат для проверки ответов SAML. Поле для открытого сертификата поставщика удостоверений

  10. Чтобы проверить целостность запросов от издателя SAML, нажмите значок . Затем в раскрывающихся списках "Метод подписи" и "Метод дайджеста" выберите хэш-алгоритм, используемый издателем SAML. Раскрывающиеся списки алгоритмов хэширования для метода подписи и метода дайджеста, используемых издателем SAML

  11. Перед включением единого входа SAML для вашего предприятия щелкните Проверить конфигурацию SAML, чтобы убедиться, что введены правильные сведения. Кнопка для проверки конфигурации SAML перед применением

  12. Выберите команду Сохранить.

  13. Чтобы обеспечить доступ к организации в случае, если поставщик удостоверений станет недоступен в будущем, нажмите кнопку Скачать, Печать или Копировать, чтобы сохранить коды восстановления. Дополнительные сведения см. в статье Скачивание кодов восстановления единого входа для корпоративной учетной записи.

    Снимок экрана: кнопки для скачивания, печати или копирования кодов восстановления

Дополнительные материалы