Настройка единого входа SAML для предприятия

Сведения о едином входе SAML

Единый вход SAML позволяет централизованно контролировать и защищать доступ к экземпляр GitHub Enterprise Server из поставщика удостоверений SAML. Когда пользователь без проверки подлинности посещает экземпляр GitHub Enterprise Server в браузере, GitHub Enterprise Server перенаправит пользователя к поставщику удостоверений SAML для проверки подлинности. После успешной проверки подлинности пользователя с помощью учетной записи поставщика удостоверений поставщик удостоверений перенаправляет пользователя обратно в экземпляр GitHub Enterprise Server. GitHub Enterprise Server проверяет ответ от поставщика удостоверений, а затем предоставляет доступ пользователю.

После успешной проверки подлинности пользователя в поставщике удостоверений сеанс SAML пользователя для экземпляр GitHub Enterprise Server активируется в браузере в течение 24 часов. Через 24 часа пользователь должен будет снова пройти проверку подлинности у поставщика удостоверений.

При JIT-подготовке при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя в экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе Приостановка и возобновление работы пользователей.

Поддерживаемые поставщики удостоверений

GitHub Enterprise Server поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.

• Службы федерации Active Directory (AD FS)
• Azure Active Directory (Azure AD)
• Okta
• OneLogin
• PingOne
• Shibboleth

Настройка единого входа SAML

Вы можете включить или отключить проверку подлинности SAML для экземпляр GitHub Enterprise Server или изменить существующую конфигурацию. Вы можете просматривать и изменять параметры проверки подлинности для GitHub Enterprise Server в Консоль управления. Дополнительные сведения см. в разделе Администрирование экземпляра из консоли управления.

1. В учетной записи администратора GitHub Enterprise Server в правом верхнем углу любой страницы щелкните .

2. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта. 1. На боковой панели Администратор сайта щелкните Консоль управления. 1. На боковой панели "Параметры" щелкните Проверка подлинности.

3. В разделе "Проверка подлинности" выберите SAML.

4. При необходимости для того, чтобы разрешить пользователям без учетной записи во внешней системе проверки подлинности вход с помощью встроенной проверки подлинности, выберите Разрешить встроенную проверку подлинности. Дополнительные сведения см. в разделе Разрешение встроенной проверки подлинности для пользователей за пределами поставщика.

5. При необходимости, чтобы включить единый вход без запроса, выберите Единый вход, инициированный поставщиком удостоверений. По умолчанию GitHub Enterprise Server отвечает на назапрашиваемый запрос поставщика удостоверений (IdP) с сообщением AuthnRequest обратно поставщику удостоверений.

   Примечание. Рекомендуется оставлять этот параметр неотмеченным. Эту функцию следует включать только в редких случаях, когда реализация SAML не поддерживает единый вход, инициированный поставщиком услуг, и когда это рекомендует Поддержка GitHub Enterprise.

6. Если вы не хотите, чтобы поставщик SAML определял права администратора для пользователей в экземпляр GitHub Enterprise Server, выберите Отключить понижение или повышение роли администратора

7. При необходимости, чтобы разрешить экземпляр GitHub Enterprise Server получать зашифрованные утверждения от поставщика удостоверений SAML, выберите Требовать зашифрованные утверждения.

   Необходимо убедиться, что поставщик удостоверений поддерживает зашифрованные утверждения и что методы шифрования и передачи ключей в консоли управления соответствуют значениям, настроенным для поставщика удостоверений. Необходимо также предоставить поставщику удостоверений общедоступный сертификат экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Включение зашифрованных утверждений.

8. В разделе "URL-адрес единого входа" введите конечную точку HTTP или HTTPS в поставщике удостоверений для запросов единого входа. Это значение предоставляется конфигурацией поставщика удостоверений. Если узел доступен только из внутренней сети, может потребоваться настроить экземпляр GitHub Enterprise Server для использования внутренних серверов доменных имен.

9. При необходимости в поле Издатель введите имя издателя SAML. Это проверяет подлинность сообщений, отправленных в экземпляр GitHub Enterprise Server.

10. Выберите раскрывающиеся меню Метод подписи и Дайджест-метод , а затем щелкните алгоритм хэширования, используемый издателем SAML, чтобы проверить целостность запросов от экземпляр GitHub Enterprise Server.

11. Выберите раскрывающееся меню Формат идентификатора имени и выберите формат.

12. В разделе "Проверка сертификата" щелкните Выбрать файл, а затем выберите сертификат для проверки ответов SAML от поставщика удостоверений.

13. В разделе "Атрибуты пользователя" измените имена атрибутов SAML в соответствии с поставщиком удостоверений, если это необходимо, или примите имена по умолчанию.

Дополнительные материалы

• "Повышение или понижение уровня для администратора сайта"