О едином входе SAML для вашего предприятия
Единый вход SAML позволяет пользователям проходить проверку подлинности и получать доступ к данным ваш экземпляр GitHub Enterprise Server через внешнюю систему для управления удостоверениями.
SAML — это стандарт на основе XML для проверки подлинности и авторизации. При настройке SAML для ваш экземпляр GitHub Enterprise Serverвнешняя система для проверки подлинности называется поставщиком удостоверений (IdP). Ваш экземпляр выступает в качестве поставщика услуг SAML (SP). Дополнительные сведения о стандарте SAML см. в разделе Язык разметки заявлений системы безопасности в Википедии.
Note
Можно использовать SAML или LDAP, но не оба.
При использовании SAML или CAS двухфакторная проверка подлинности не поддерживается или управляется экземпляром GitHub Enterprise Server, но может поддерживаться внешним поставщиком проверки подлинности. Двухфакторная проверка подлинности в организациях недоступна. Дополнительные сведения о применении двухфакторной проверки подлинности в организациях см. в разделе "Обязательная двухфакторная проверка подлинности в вашей организации".
После настройки SAML пользователи, использующие ваш экземпляр GitHub Enterprise Server, должны использовать personal access token для проверки подлинности запросов API. Дополнительные сведения см. в разделе Управление личными маркерами доступа.
Если вы хотите разрешить проверку подлинности для некоторых пользователей, у которых нет учетной записи во внешнем поставщике проверки подлинности, вы можете разрешить резервную проверку подлинности локальным учетным записям на ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Разрешение встроенной проверки подлинности для пользователей за пределами поставщика.
Дополнительные сведения о настройке единого входа SAML на GitHub Enterprise Serverсм. в разделе Настройка единого входа SAML для предприятия.
О создании учетных записей пользователей
Дополнительные сведения см. в разделе Configuring user provisioning with SCIM on GitHub Enterprise Server.
При подготовке JIT при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя на ваш экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе "Приостановка и возобновление работы пользователей".
Поддерживаемые поставщики удостоверений
GitHub Enterprise Server поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.
GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.
- Microsoft службы федерации Active Directory (AD FS) (AD FS)
- Идентификатор Microsoft Entra (ранее известный как Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Если ваш поставщик удостоверений поддерживает зашифрованные утверждения, можно настроить зашифрованные утверждения в GitHub Enterprise Server для повышения безопасности при проверке подлинности.
GitHub Enterprise Server не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.
Дополнительные материалы
- Использование SAML для корпоративного IAM
- Вики-сайт SAML на веб-сайте OASIS
- Система для управления удостоверениями между доменами: протокол (RFC 7644) на веб-сайте IETF