Сведения о едином входе SAML
Единый вход SAML позволяет централизованно контролировать и защищать доступ к ваше предприятие из поставщика удостоверений SAML. Когда пользователь без проверки подлинности посещает ваше предприятие в браузере, GitHub AE перенаправит пользователя к поставщику удостоверений SAML для проверки подлинности. После успешной проверки подлинности пользователя с помощью учетной записи поставщика удостоверений поставщик удостоверений перенаправляет пользователя обратно в ваше предприятие. GitHub AE проверяет ответ от поставщика удостоверений, а затем предоставляет доступ пользователю.
После успешной проверки подлинности пользователя в поставщике удостоверений сеанс SAML пользователя для ваше предприятие активен в браузере в течение 24 часов. Через 24 часа пользователь должен будет снова пройти проверку подлинности у поставщика удостоверений.
Чтобы сделать человека владельцем предприятия, необходимо делегировать доступ от поставщика удостоверений. Если вы используете Azure AD и SCIM, назначьте пользователю роль владельца предприятия. Для других поставщиков удостоверений включите administrator
атрибут в утверждение SAML для учетной записи пользователя в поставщике удостоверений со значением true
. Дополнительные сведения о владельцах предприятия см. в разделе Роли на предприятии. Дополнительные сведения о проверке подлинности и подготовке с помощью Azure AD см. в разделе Настройка проверки подлинности и подготовка вашей организации с помощью Azure AD.
По умолчанию, когда вы назначаете приложение или отменяете его назначение, ваш поставщик удостоверений не взаимодействует с GitHub AE автоматически. GitHub AE создает учетную запись пользователя с помощью JIT-подготовки SAML при первом переходе любого пользователя к GitHub AE и выполняет вход, используя проверку подлинности через вашего поставщика удостоверений. Вам может потребоваться вручную уведомлять пользователей о предоставлении доступа к GitHub AE и необходимо вручную деактивировать учетную запись пользователя в GitHub AE во время отключения.
Кроме того, вместо JIT-подготовки SAML SCIM можно использовать для создания или приостановки , автоматически предоставляют или запрещают доступ к ваше предприятие после назначения или отмены назначения приложения для поставщика удостоверений. Дополнительные сведения см. в разделе Настройка подготовки пользователей с помощью SCIM для предприятия.
Поддерживаемые поставщики удостоверений
GitHub AE поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.
GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.
- Azure Active Directory (Azure AD)
- Okta (бета-версия)
Включение единого входа SAML
Настройка управления удостоверениями и доступом для GitHub AE выполняется путем ввода сведений о поставщике удостоверений SAML во время инициализации. Дополнительные сведения см. в разделе Инициализация GitHub AE.
Следующие поставщики удостоверений предоставляют документацию по настройке единого входа SAML для GitHub AE. Если ваш поставщик удостоверений не указан, обратитесь к своему поставщику удостоверений, чтобы запросить поддержку для GitHub AE.
IdP | Дополнительные сведения |
---|---|
Azure AD | "Настройка проверки подлинности и подготовка вашей организации с помощью Azure AD" |
Okta | "Настройка проверки подлинности и подготовка вашей организации с помощью Okta" |
Во время инициализации для GitHub AE необходимо настроить GitHub AE в качестве поставщика услуг SAML в поставщике удостоверений. Чтобы настроить GitHub AE в качестве допустимого поставщика услуг, необходимо ввести несколько уникальных значений для поставщика удостоверений. Дополнительные сведения см. в разделе Справочник по конфигурации SAML.
Изменение конфигурации единого входа SAML
Если сведения о поставщике удостоверений изменяются, необходимо изменить конфигурацию единого входа SAML для ваше предприятие. Например, если срок действия сертификата поставщика удостоверений истек, можно изменить значение для открытого сертификата.
Примечание. Если вам не удается войти в свое предприятие из-за отсутствия подключения GitHub AE к поставщику удостоверений SAML, свяжитесь с Поддержка GitHub, чтобы получить помощь с доступом к GitHub AE для обновления конфигурации единого входа SAML. Дополнительные сведения см. в разделе Обращение в службу поддержки GitHub.
-
В правом верхнем углу GitHub AE щелкните фотографию профиля и выберите Параметры предприятия.
1. На боковой панели корпоративной учетной записи щелкните Параметры. -
В разделе параметров щелкните Безопасность проверки подлинности.
-
В разделе "Единый вход SAML" введите новые сведения для поставщика удостоверений.
-
В общедоступном сертификате справа от текущей сигнатуры и методов дайджеста щелкните .
-
Выберите раскрывающиеся меню Метод подписи и Дайджест-метод , а затем щелкните алгоритм хэширования, используемый издателем SAML.
-
Чтобы убедиться, что введенные сведения верны, нажмите кнопку Проверить конфигурацию SAML.
-
Нажмите Сохранить.
-
При необходимости для автоматической подготовки и отзыва учетных записей пользователей для ваше предприятие перенастройте подготовку пользователей с помощью SCIM. Дополнительные сведения см. в разделе Настройка подготовки пользователей с помощью SCIM для предприятия.
Отключение единого входа SAML
Предупреждение. Если отключить единый вход SAML для ваше предприятие, пользователи без сеансов единого входа SAML не смогут войти в ваше предприятие. Сеансы единого входа SAML в ваше предприятие завершаются через 24 часа.
Примечание. Если вам не удается войти в свое предприятие из-за отсутствия подключения GitHub AE к поставщику удостоверений SAML, свяжитесь с Поддержка GitHub, чтобы получить помощь с доступом к GitHub AE для обновления конфигурации единого входа SAML. Дополнительные сведения см. в разделе Обращение в службу поддержки GitHub.
- В правом верхнем углу GitHub AE щелкните фотографию профиля и выберите Параметры предприятия.
1. На боковой панели корпоративной учетной записи щелкните Параметры. - В разделе параметров щелкните Безопасность проверки подлинности.
- В разделе "Единый вход SAML" снимите флажок Включить проверку подлинности SAML.
- Чтобы отключить единый вход SAML и требовать входа со встроенной учетной записью пользователя, созданной во время инициализации, нажмите кнопку Сохранить.