Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.

Настройка единого входа SAML для предприятия

Вы можете контролировать и защищать доступ к ресурсам экземпляр GitHub Enterprise Server от настройка единого входа SAML через поставщика удостоверений (IdP).

Кто может использовать эту функцию

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Сведения о едином входе SAML

Единый вход SAML позволяет централизованно контролировать и защищать доступ к экземпляр GitHub Enterprise Server из поставщика удостоверений SAML. Когда пользователь, не прошедший проверку подлинности, посещает экземпляр GitHub Enterprise Server в браузере, GitHub Enterprise Server перенаправляет пользователя к поставщику удостоверений SAML для проверки подлинности. После успешной проверки подлинности пользователя с помощью учетной записи поставщика удостоверений поставщик удостоверений перенаправляет пользователя обратно в экземпляр GitHub Enterprise Server. GitHub Enterprise Server проверяет ответ от поставщика удостоверений, а затем предоставляет доступ пользователю.

После успешной проверки подлинности пользователя в поставщике удостоверений сеанс SAML пользователя для экземпляр GitHub Enterprise Server активен в браузере в течение 24 часов. Через 24 часа пользователь должен будет снова пройти проверку подлинности у поставщика удостоверений.

При JIT-подготовке при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя в экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе Блокировка и разблокировка пользователей.

Поддерживаемые поставщики удостоверений

GitHub Enterprise Server поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.

  • Службы федерации Active Directory (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Настройка единого входа SAML

Вы можете включить или отключить проверку подлинности SAML для экземпляр GitHub Enterprise Server или изменить существующую конфигурацию. Параметры проверки подлинности для GitHub Enterprise Server можно просматривать и изменять в консоли управления. Дополнительные сведения см. в статье "Доступ к консоли управления".

Примечание. GitHub настоятельно рекомендует проверять все новые конфигурации проверки подлинности в промежуточной среде. Неправильная конфигурация может привести к простою экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Настройка промежуточного экземпляра.

  1. Из учетной записи администратора на GitHub Enterprise Server в правом верхнем углу любой страницы щелкните .

    Снимок экрана: значок ракетного корабля для доступа к параметрам администратора сайта

  2. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.

    Снимок экрана: ссылка "Администратор сайта" 1. На боковой панели слева нажмите Консоль управления . Вкладка "Консоль управления" на боковой панели слева 1. На левой боковой панели щелкните Проверка подлинности. Вкладка "Проверка подлинности" на боковой панели параметров

  3. Выберите SAML.

    Снимок экрана: параметр включения проверки подлинности SAML в консоли управления

  4. При необходимости для того, чтобы разрешить пользователям без учетной записи во внешней системе проверки подлинности вход с помощью встроенной проверки подлинности, выберите Разрешить встроенную проверку подлинности. Дополнительные сведения см. в разделе Разрешение встроенной проверки подлинности для пользователей за пределами поставщика.

    Снимок экрана: параметр включения встроенной проверки подлинности за пределами поставщика удостоверений SAML

  5. При необходимости, чтобы включить единый вход без запроса, выберите Единый вход, инициированный поставщиком удостоверений. По умолчанию GitHub Enterprise Server отвечает на назапрашиваемый запрос поставщика удостоверений (IdP) с сообщением AuthnRequest обратно поставщику удостоверений.

    Снимок экрана: параметр включения ответа на назапрашиваемый запрос, инициированный поставщиком удостоверений

    Примечание. Рекомендуется оставлять этот параметр неотмеченным. Эту функцию следует включать только в редких случаях, когда реализация SAML не поддерживает единый вход, инициированный поставщиком услуг, и когда это рекомендует Поддержка GitHub Enterprise.

  6. Выберите Отключить понижение или повышение роли администратора , если вы не хотите, чтобы поставщик SAML определял права администратора для пользователей в экземпляр GitHub Enterprise Server.

    Снимок экрана: параметр для учета атрибута "администратор" поставщика удостоверений для включения или отключения прав администратора

  7. При необходимости, чтобы разрешить экземпляр GitHub Enterprise Server получать зашифрованные утверждения от поставщика удостоверений SAML, выберите Требовать зашифрованные утверждения. Необходимо убедиться, что поставщик удостоверений поддерживает зашифрованные утверждения и что методы шифрования и передачи ключей в консоли управления соответствуют значениям, настроенным для поставщика удостоверений. Необходимо также предоставить общедоступный сертификат экземпляр GitHub Enterprise Server поставщику удостоверений. Дополнительные сведения см. в разделе Включение зашифрованных утверждений.

    Снимок экрана: флажок "Включить зашифрованные утверждения" в разделе "Проверка подлинности" консоли управления

  8. В поле URL-адреса единого входа введите конечную точку HTTP или HTTPS поставщика удостоверений для запросов единого входа. Это значение предоставляется конфигурацией поставщика удостоверений. Если узел доступен только из внутренней сети, может потребоваться настроить экземпляр GitHub Enterprise Server для использования внутренних серверов доменных имен.

    Снимок экрана: текстовое поле для URL-адреса единого входа

  9. При необходимости в поле Издатель введите имя издателя SAML. Это проверяет подлинность сообщений, отправленных в экземпляр GitHub Enterprise Server.

    Снимок экрана: текстовое поле для URL-адреса издателя SAML

  10. В раскрывающихся меню Метод подписи и Дайджест-метод выберите алгоритм хэширования, используемый издателем SAML, чтобы проверить целостность запросов от экземпляр GitHub Enterprise Server. Укажите формат в раскрывающемся меню Формат идентификатора имени.

    Снимок экрана: раскрывающееся меню для выбора метода подписи и дайджеста

  11. В разделе Сертификат проверки щелкните Выбрать файл и выберите сертификат для проверки ответов SAML от поставщика удостоверений.

    Снимок экрана: кнопка для отправки сертификата проверки поставщика удостоверений

  12. При необходимости измените имена атрибутов SAML в соответствии с поставщиком удостоверений или примите имена по умолчанию.

    Снимок экрана: поля для ввода дополнительных атрибутов SAML

Дополнительные материалы