Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.

Об управлении удостоверениями и доступом с помощью единого входа SAML

При централизованном управлении удостоверениями пользователей и приложениями с помощью поставщика удостоверений (IdP) можно настроить единый вход (SSO) с помощью языка разметки заявлений системы безопасности (SAML) для защиты ресурсов организации на GitHub.

Примечание. Чтобы подключить единый вход SAML, ваша организация должна использовать GitHub Enterprise Cloud. Дополнительные сведения о том, как бесплатно попробовать GitHub Enterprise Cloud, см. в разделе Настройка пробной версии GitHub Enterprise Cloud.

Сведения о едином входе SAML

Единый вход SAML предоставляет владельцам организаций и предприятий на GitHub Enterprise Cloud способ управления доступом и защиты ресурсов организации, таких как репозитории, проблемы и запросы на вытягивание.

Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда участник обращается к большинству ресурсов в организации, GitHub перенаправляет участника к поставщику удостоверений для проверки подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа SAML.

Примечание. Единый вход с помощью SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.

Проверка подлинности поставщика удостоверений не требуется для доступа к общедоступным репозиториям определенными способами:

  • Просмотр страницы обзора репозитория и содержимого файлов в GitHub
  • Вилка репозитория
  • Выполнение операций чтения с помощью Git, таких как клонирование репозитория

Проверка подлинности необходима для другого доступа к общедоступным репозиториям, например для просмотра проблем, запросов на вытягивание, проектов и выпусков.

Примечание: Проверка подлинности SAML не требуется для внешних участников совместной работы. Дополнительные сведения о внешних участниках совместной работы см. в разделе Роли в организации.

Владельцы организации могут применять единый вход SAML для отдельной организации, или владельцы предприятий могут применять его для всех организаций в корпоративной учетной записи. Дополнительные сведения см. в разделах Сведения о проверке подлинности для вашей организации и Настройка единого входа SAML для предприятия.

Перед включением единого входа SAML для вашей организации необходимо подключить к организации поставщика удостоверений. Дополнительные сведения см. в разделе Подключение поставщика идентификаторов к вашей организации.

Для организации единый вход SAML можно отключить, включить, но не применять принудительно, включить и принудительно применять. После включения единого входа SAML для организации и ее участников можно принудительно применить конфигурацию единого входа SAML. Дополнительные сведения о применении единого входа SAML для организации GitHub см. в разделе Применение единого входа SAML для вашей организации.

Участники должны периодически проходить проверку подлинности с помощью поставщика удостоверений, чтобы пройти проверку подлинности и получить доступ к ресурсам вашей организации. Продолжительность этого периода для входа задается идентификатором поставщика удостоверений и обычно составляет 24 часа. Это требование о периодическом входе ограничивает продолжительность доступа и требует от пользователей повторной идентификации для продолжения работы.

Чтобы получить доступ к защищенным ресурсам организации с помощью API и Git в командной строке, участники должны авторизоваться и пройти проверку подлинности с помощью personal access token или ключа SSH. Дополнительные сведения см. в разделах Авторизация личного токена доступа для использования с документами единого входа SAML и Авторизация ключа SSH для использования с единым входом SAML.

Когда участник впервые использует единый вход SAML для доступа к вашей организации, GitHub автоматически создает запись, которая связывает вашу организацию, учетную запись участника в GitHub.com и учетную запись участника в поставщике удостоверений. Вы можете просмотреть и отозвать связанное удостоверение SAML, активные сеансы и авторизованные учетные данные для участников организации или учетной записи предприятия. Дополнительные сведения см. в разделах Просмотр доступа SAML участника к вашей организации и управление им и Просмотр сведений о SAML-доступе пользователей к предприятию и управление ими.

Если участники выполнили вход в сеанс единого входа SAML при создании нового репозитория, для этого репозитория по умолчанию установлен параметр видимости "Частный". В противном случае видимость по умолчанию настраивается как "Общедоступный". Дополнительные сведения о видимости репозитория см. в разделе Сведения о репозиториях.

Члены организации также должны иметь активный сеанс SAML для авторизации OAuth App. Вы можете отказаться от этого требования, обратившись к Поддержка GitHub. GitHub Enterprise Cloud не рекомендует отказываться от этого требования, поскольку из-за этого ваша организация будет более подвержена риску перехвата учетных записей и возможной потери данных.

GitHub Enterprise Cloud не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.

Поддерживаемые службы SAML

GitHub Enterprise Cloud поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.

  • Службы федерации Active Directory (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Некоторые поставщики удостоверений поддерживают доступ для подготовки к организации GitHub посредством SCIM. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.

Эту реализацию SCIM нельзя использовать с корпоративной учетной записью или организация с управляемыми пользователями. Если ваше предприятие включено для Enterprise Managed Users, необходимо использовать другую реализацию SCIM. В противном случае SCIM будет недоступен на уровне предприятия. Дополнительные сведения см. в разделе Настройка подготовки SCIM для Enterprise Managed Users.

Добавление участников в организацию с помощью единого входа SAML

После включения единого входа SAML можно добавить в организацию новых участников. Владельцы организации могут вручную отправить приглашение новым участникам в GitHub Enterprise Cloud или с помощью API. Дополнительные сведения см. в разделах Отправка пользователям приглашений присоединиться к вашей организации и Организации.

Для подготовки новых пользователей без приглашения от владельца организации можно использовать URL-адрес https://github.com/orgs/ORGANIZATION/sso/sign_up, заменив ORGANIZATION на название организации. Например, можно настроить IdP таким образом, чтобы любой пользователь с доступом к IdP мог щелкнуть ссылку на панели мониторинга IdP и присоединиться к GitHub организации.

Примечание: Подготовка новых пользователей с помощью https://github.com/orgs/ORGANIZATION/sso/sign_up поддерживается только в том случае, если единый вход SAML настроен на уровне организации, а не когда единый вход SAML настроен на уровне корпоративной учетной записи. Дополнительные сведения о едином входе SAML для корпоративных учетных записей см. в разделе Сведения о SAML для корпоративной системы IAM.

Если ваш поставщик удостоверений поддерживает SCIM, GitHub может автоматически приглашать участников присоединиться к организации при предоставлении доступа к поставщику удостоверений. При удалении доступа участника к вашей организации GitHub в поставщике удостоверений SAML участник автоматически удаляется из организации GitHub. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.

Вы можете использовать синхронизацию команд для автоматического добавления и удаления участников организации в командах через поставщика удостоверений. Дополнительные сведения см. в разделе Синхронизация команды с группой поставщика удостоверений.

Дополнительные материалы