About SAML for enterprise IAM

You can use SAML single sign-on (SSO) to centrally manage access to ваш экземпляр GitHub Enterprise Server.

В этой статье

About SAML SSO for ваш экземпляр GitHub Enterprise Server

SAML SSO allows people to authenticate and access ваш экземпляр GitHub Enterprise Server through an external system for identity management.

SAML is an XML-based standard for authentication and authorization. When you configure SAML for ваш экземпляр GitHub Enterprise Server, the external system for authentication is called an identity provider (IdP). Your instance acts as a SAML service provider (SP). For more information about the SAML standard, see Security Assertion Markup Language on Wikipedia.

Примечание. Вы можете использовать SAML или LDAP, но не оба.

При использовании SAML или CAS двухфакторная проверка подлинности не поддерживается или управляется экземпляром GitHub Enterprise Server, но может поддерживаться внешним поставщиком проверки подлинности. Двухфакторная проверка подлинности в организациях недоступна. Дополнительные сведения о применении двухфакторной проверки подлинности в организациях см. в разделе "Обязательная двухфакторная проверка подлинности в вашей организации".

After you configure SAML, people who use ваш экземпляр GitHub Enterprise Server must use a personal access token to authenticate API requests. For more information, see "Управление личными маркерами доступа."

Если вы хотите разрешить проверку подлинности для некоторых пользователей, у которых нет учетной записи во внешнем поставщике проверки подлинности, вы можете разрешить резервную проверку подлинности локальным учетным записям на ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Allowing built-in authentication for users outside your provider.

For more information about the configuration of SAML SSO on GitHub Enterprise Server, see "Configuring SAML single sign-on for your enterprise." To learn how to configure both authentication and user provisioning for ваш экземпляр GitHub Enterprise Server, see the articles for individual IdPs in "Using SAML for enterprise IAM."

About creation of user accounts

По умолчанию, когда вы назначаете приложение или отменяете его назначение, ваш поставщик удостоверений не взаимодействует с GitHub Enterprise Server автоматически. GitHub Enterprise Server создает учетную запись пользователя с помощью JIT-подготовки SAML при первом переходе любого пользователя к GitHub Enterprise Server и выполняет вход, используя проверку подлинности через вашего поставщика удостоверений. Вам может потребоваться вручную уведомлять пользователей о предоставлении доступа к GitHub Enterprise Server и необходимо вручную деактивировать учетную запись пользователя в GitHub Enterprise Server во время отключения.

Кроме того, вместо подготовки JIT SAML, вы можете использовать SCIM для create или suspend учетные записи пользователей и предоставление или запрет доступа к ваш экземпляр GitHub Enterprise Server автоматически после назначения или отмены назначения приложения в idP. SCIM для GitHub Enterprise Server в настоящее время находится в закрытой бета-версии и подлежит изменению. For more information, see "Configuring user provisioning with SCIM for your enterprise."

При подготовке JIT при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя на ваш экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе "Приостановка и возобновление работы пользователей".

Supported IdPs

GitHub Enterprise Server поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.

  • Microsoft службы федерации Active Directory (AD FS) (AD FS)
  • Идентификатор Microsoft Entra (ранее известный как Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

If your IdP supports encrypted assertions, you can configure encrypted assertions on GitHub Enterprise Server for increased security during the authentication process.

GitHub Enterprise Server не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.

Further reading