Примечание. Чтобы подключить единый вход SAML, ваша организация должна использовать GitHub Enterprise Cloud. Дополнительные сведения о том, как бесплатно попробовать GitHub Enterprise Cloud, см. в разделе Настройка пробной версии GitHub Enterprise Cloud.
Сведения о едином входе SAML
Единый вход SAML предоставляет владельцам организаций и предприятий на GitHub Enterprise Cloud способ управления доступом и защиты ресурсов организации, таких как репозитории, проблемы и запросы на вытягивание.
Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда участник обращается к большинству ресурсов в организации, GitHub перенаправляет участника к поставщику удостоверений для проверки подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа SAML.
Примечание. Единый вход с помощью SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.
Проверка подлинности поставщика удостоверений не требуется для доступа к общедоступным репозиториям определенными способами:
- Просмотр страницы обзора репозитория и содержимого файлов в GitHub
- Вилка репозитория
- Выполнение операций чтения с помощью Git, таких как клонирование репозитория
Проверка подлинности необходима для другого доступа к общедоступным репозиториям, например для просмотра проблем, запросов на вытягивание, проектов и выпусков.
Примечание: Проверка подлинности SAML не требуется для внешних участников совместной работы. Дополнительные сведения о внешних участниках совместной работы см. в разделе Роли в организации.
Владельцы организации могут применять единый вход SAML для отдельной организации, или владельцы предприятий могут применять его для всех организаций в корпоративной учетной записи. Дополнительные сведения см. в разделах Сведения о проверке подлинности для вашей организации и Настройка единого входа SAML для предприятия.
Перед включением единого входа SAML для вашей организации необходимо подключить к организации поставщика удостоверений. Дополнительные сведения см. в разделе Подключение поставщика идентификаторов к вашей организации.
Для организации единый вход SAML можно отключить, включить, но не применять принудительно, включить и принудительно применять. После включения единого входа SAML для организации и ее участников можно принудительно применить конфигурацию единого входа SAML. Дополнительные сведения о применении единого входа SAML для организации GitHub см. в разделе Применение единого входа SAML для вашей организации.
Участники должны периодически проходить проверку подлинности с помощью поставщика удостоверений, чтобы пройти проверку подлинности и получить доступ к ресурсам вашей организации. Продолжительность этого периода для входа задается идентификатором поставщика удостоверений и обычно составляет 24 часа. Это требование о периодическом входе ограничивает продолжительность доступа и требует от пользователей повторной идентификации для продолжения работы.
Чтобы получить доступ к защищенным ресурсам организации с помощью API и Git в командной строке, участники должны авторизоваться и пройти проверку подлинности с помощью personal access token или ключа SSH. Дополнительные сведения см. в разделах Авторизация личного токена доступа для использования с документами единого входа SAML и Авторизация ключа SSH для использования с единым входом SAML.
Когда участник впервые использует единый вход SAML для доступа к вашей организации, GitHub автоматически создает запись, которая связывает вашу организацию, учетную запись участника в GitHub.com и учетную запись участника в поставщике удостоверений. Вы можете просмотреть и отозвать связанное удостоверение SAML, активные сеансы и авторизованные учетные данные для участников организации или учетной записи предприятия. Дополнительные сведения см. в разделах Просмотр доступа SAML участника к вашей организации и управление им и Просмотр сведений о SAML-доступе пользователей к предприятию и управление ими.
Если участники выполнили вход в сеанс единого входа SAML при создании нового репозитория, для этого репозитория по умолчанию установлен параметр видимости "Частный". В противном случае видимость по умолчанию настраивается как "Общедоступный". Дополнительные сведения о видимости репозитория см. в разделе Сведения о репозиториях.
Члены организации также должны иметь активный сеанс SAML для авторизации OAuth App. Вы можете отказаться от этого требования, обратившись к Поддержка GitHub. GitHub Enterprise Cloud не рекомендует отказываться от этого требования, поскольку из-за этого ваша организация будет более подвержена риску перехвата учетных записей и возможной потери данных.
GitHub Enterprise Cloud не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.
Поддерживаемые службы SAML
GitHub Enterprise Cloud поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.
GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.
- Службы федерации Active Directory (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Некоторые поставщики удостоверений поддерживают доступ для подготовки к организации GitHub посредством SCIM. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.
Эту реализацию SCIM нельзя использовать с корпоративной учетной записью или организация с управляемыми пользователями. Если ваше предприятие включено для Enterprise Managed Users, необходимо использовать другую реализацию SCIM. В противном случае SCIM будет недоступен на уровне предприятия. Дополнительные сведения см. в разделе Настройка подготовки SCIM для Enterprise Managed Users.
Добавление участников в организацию с помощью единого входа SAML
После включения единого входа SAML можно добавить в организацию новых участников. Владельцы организации могут вручную отправить приглашение новым участникам в GitHub Enterprise Cloud или с помощью API. Дополнительные сведения см. в разделах Отправка пользователям приглашений присоединиться к вашей организации и Организации.
Для подготовки новых пользователей без приглашения от владельца организации можно использовать URL-адрес https://github.com/orgs/ORGANIZATION/sso/sign_up
, заменив ORGANIZATION на название организации. Например, можно настроить IdP таким образом, чтобы любой пользователь с доступом к IdP мог щелкнуть ссылку на панели мониторинга IdP и присоединиться к GitHub организации.
Примечание: Подготовка новых пользователей с помощью https://github.com/orgs/ORGANIZATION/sso/sign_up
поддерживается только в том случае, если единый вход SAML настроен на уровне организации, а не когда единый вход SAML настроен на уровне корпоративной учетной записи. Дополнительные сведения о едином входе SAML для корпоративных учетных записей см. в разделе Сведения о SAML для корпоративной системы IAM.
Если ваш поставщик удостоверений поддерживает SCIM, GitHub может автоматически приглашать участников присоединиться к организации при предоставлении доступа к поставщику удостоверений. При удалении доступа участника к вашей организации GitHub в поставщике удостоверений SAML участник автоматически удаляется из организации GitHub. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.
Вы можете использовать синхронизацию команд для автоматического добавления и удаления участников организации в командах через поставщика удостоверений. Дополнительные сведения см. в разделе Синхронизация команды с группой поставщика удостоверений.