Skip to main content

Об управлении удостоверениями и доступом с помощью единого входа SAML

При централизованном управлении удостоверениями пользователей и приложениями с помощью поставщика удостоверений (IdP) можно настроить единый вход (SSO) с помощью языка разметки заявлений системы безопасности (SAML) для защиты ресурсов организации на GitHub.

Note

Чтобы использовать единый вход SAML, ваша организация должна использовать GitHub Enterprise Cloud. Дополнительные сведения о том, как бесплатно попробовать GitHub Enterprise Cloud, см. в разделе Настройка пробной версии GitHub Enterprise Cloud.

Сведения о едином входе SAML

Единый вход SAML предоставляет владельцам организаций и предприятий на GitHub Enterprise Cloud способ управления доступом и защиты ресурсов организации, таких как репозитории, проблемы и запросы на вытягивание.

Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда член обращается к большинству ресурсов в организации, GitHub перенаправляет участника на идентификатор поставщика, чтобы пройти проверку подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа SAML.

Note

Единый вход SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.

Проверка подлинности поставщика удостоверений не требуется для доступа к общедоступным репозиториям определенным образом:

  • Просмотр страницы обзора репозитория и содержимого файла на GitHub
  • Вилка репозитория
  • Выполнение операций чтения с помощью Git, таких как клонирование репозитория

Для доступа к общедоступным репозиториям требуется проверка подлинности, например просмотр проблем, запросов на вытягивание, проекты и выпуски.

Note

Аутентификация SAML не требуется для внешних участников совместной работы. Дополнительные сведения о внешний участник совместной работы см. в разделе "Роли в организации".

Владельцы организации могут применять единый вход SAML для отдельной организации, или владельцы предприятий могут применять его для всех организаций в корпоративной учетной записи. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Сведения об управлении удостоверениями и доступом](/enterprise-cloud@latest/admin/identity-and-access-management/using-saml-for-enterprise-iam/configuring-saml-single-sign-on-for-your-enterprise)".

Перед включением единого входа SAML для вашей организации необходимо подключить к организации поставщика удостоверений. Дополнительные сведения см. в разделе Подключение поставщика идентификаторов к вашей организации.

Для организации единый вход SAML можно отключить, включить, но не применять принудительно, включить и принудительно применять. После включения единого входа SAML для организации и ее участников можно принудительно применить конфигурацию единого входа SAML. Дополнительные сведения о применении единого входа SAML для вашей организации GitHub см. в разделе "Применение единого входа SAML для вашей организации".

Участники должны периодически проходить проверку подлинности с помощью поставщика удостоверений, чтобы пройти проверку подлинности и получить доступ к ресурсам вашей организации. Продолжительность этого периода для входа задается поставщиком удостоверений и обычно составляет 24 часа. Это требование о периодическом входе ограничивает продолжительность доступа и требует от пользователей повторной идентификации для продолжения работы.

Чтобы получить доступ к защищенным ресурсам организации с помощью API и Git в командной строке, члены должны авторизовать и пройти проверку подлинности с помощью ключа personal access token или SSH. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Авторизация личного токена доступа для использования с документами единого входа SAML](/authentication/authenticating-with-saml-single-sign-on/authorizing-an-ssh-key-for-use-with-saml-single-sign-on)".

При первом использовании единого входа SAML для доступа к вашей организации GitHub автоматически создается запись, которая связывает вашу организацию, учетную запись участника на GitHub, а также учетную запись участника в поставщике удостоверений. Вы можете просмотреть и отозвать связанное удостоверение SAML, активные сеансы и авторизованные учетные данные для участников организации или учетной записи предприятия. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Просмотр доступа SAML участника к вашей организации и управление им](/enterprise-cloud@latest/admin/user-management/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise)".

Если участники выполнили вход в сеанс единого входа SAML при создании нового репозитория, для этого репозитория по умолчанию установлен параметр видимости "Частный". В противном случае видимость по умолчанию настраивается как "Общедоступный". Дополнительные сведения о видимости репозитория см. в разделе "Сведения о репозиториях".

Члены организации также должны иметь активный сеанс SAML для авторизации OAuth app. Вы можете отказаться от этого требования, обратившись к . GitHub Enterprise Cloud не рекомендует отказываться от этого требования, поскольку из-за этого ваша организация будет более подвержена риску перехвата учетных записей и возможной потери данных.

GitHub Enterprise Cloud не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.

Поддерживаемые службы SAML

GitHub Enterprise Cloud поддерживает единый вход SAML с использованием поставщиков удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.

  • Microsoft службы федерации Active Directory (AD FS) (AD FS)
  • Идентификатор Microsoft Entra (ранее известный как Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Некоторые поставщики удостоверений поддерживают доступ для подготовки к организации GitHub посредством SCIM. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.

Эту реализацию SCIM нельзя использовать с учетной записью предприятия или с организация с управляемыми пользователями. Если ваше предприятие включено для Enterprise Managed Users, необходимо использовать другую реализацию SCIM. В противном случае SCIM будет недоступен на уровне предприятия. Дополнительные сведения см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.

Добавление участников в организацию с помощью единого входа SAML

После включения единого входа SAML можно добавить в организацию новых участников. Владельцы организации могут вручную отправить приглашение новым участникам в GitHub Enterprise Cloud или с помощью API. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Отправка пользователям приглашений присоединиться к вашей организации](/rest/orgs#add-or-update-organization-membership)".

Чтобы подготовить новых пользователей без приглашения из владелец организации, можно использовать URL-адресhttps://github.com/orgs/ORGANIZATION/sso/sign_up, заменив ОРГАНИЗАЦИю именем вашей организации. Например, можно настроить IdP таким образом, чтобы любой пользователь с доступом к IdP мог щелкнуть ссылку на панели мониторинга IdP и присоединиться к GitHub организации.

Note

Подготовка новых пользователей https://github.com/orgs/ORGANIZATION/sso/sign_up через поддерживается только при настройке единого входа SAML на уровне организации, а не при настройке единого входа SAML на уровне корпоративной учетной записи. Дополнительные сведения о едином входе SAML для корпоративных учетных записей см. в разделе "Сведения о SAML для корпоративной системы IAM".

Если ваш поставщик удостоверений поддерживает SCIM, GitHub может автоматически приглашать участников присоединиться к организации при предоставлении доступа к поставщику удостоверений. При удалении доступа участника к вашей организации GitHub в поставщике удостоверений SAML участник автоматически удаляется из организации GitHub. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.

You могут использовать синхронизацию групп для автоматического добавления и удаления участников организации в команды через поставщика удостоверений. Дополнительные сведения см. в разделе Синхронизация команды с группой поставщика удостоверений.

Если организация превышает 100 000 членов, некоторые функции пользовательского интерфейса и API могут быть понижены.

Дополнительные материалы