Skip to main content

为企业托管用户配置 OIDC

了解如何通过配置 OpenID Connect (OIDC) 单一登录 (SSO) 自动管理对 GitHub 上的企业帐户的访问,并启用对 IdP 的条件访问策略 (CAP) 的支持。

谁可以使用此功能?

Enterprise Managed Users 可用于 GitHub Enterprise Cloud 上的新企业帐户。 请参阅“关于 Enterprise Managed Users”。

注意:**** 对 Enterprise Managed Users 的 OpenID Connect (OIDC) 和条件访问策略 (CAP) 支持仅适用于 Microsoft Entra ID(以前称为 Azure AD)。

关于适用于企业托管用户的 OIDC

通过 Enterprise Managed Users,企业使用标识提供者 (IdP) 对所有成员进行身份验证。 可以使用 OpenID Connect (OIDC) 管理 具有托管用户的企业 的身份验证。 启用 OIDC SSO 是一个一键式设置过程,证书由 GitHub 和你的 IdP 管理。

企业使用 OIDC SSO 时,GitHub 将自动使用 IdP 的条件访问策略 (CAP) IP 条件来验证与 GitHub 的交互,当成员更改 IP 地址时,每次使用 personal access token 或与用户帐户关联的 SSH 密钥时都会验证。 请参阅“关于对 IdP 的条件访问策略的支持”。

可以通过从 IdP 更改为 GitHub 颁发的 ID 令牌的生存期属性,调整会话的生存期,以及 托管用户帐户 需要对 IdP 重新进行身份验证的频率。 默认生存期为 1 小时。 参阅 Microsoft 文档中的“配置令牌生存期策略”。

若要更改生存期策略属性,需要与 Enterprise Managed Users OIDC 相关联的对象 ID。 请参阅“查找 Entra OIDC 应用程序的对象 ID”。

Note

如果在配置 OIDC 会话生存期时需要帮助,请联系 Microsoft 支持

如果目前使用 SAML SSO 进行身份验证,并且更希望使用 OIDC 并受益于 CAP 支持,则可以遵循迁移路径。 有关详细信息,请参阅“从 SAML 迁移到 OIDC”。

警告:**** 如果使用 GitHub Enterprise Importer 从 你的 GitHub Enterprise Server 实例 迁移组织,请确保使用一个豁免于 Entra ID CAP 的服务帐户,否则迁移可能会被阻止。

标识提供者支持

对 OIDC 的支持已向使用 Entra ID 的客户开放。

每个 Entra ID 租户只能支持一个与 Enterprise Managed Users 的 OIDC 集成。 要将 Entra ID 连接到 GitHub 上的多个企业,请改用 SAML。 请参阅“为企业托管用户配置 SAML 单一登录”。

OIDC 不支持 IdP 发起的身份验证。

为企业托管用户配置 OIDC

  1. 使用用户名 @SHORT-CODE_admin 以新企业的安装用户身份登录到 GitHub。

  2. 在 GitHub 的右上角,单击你的个人资料照片,然后单击“你的企业”****。

  3. 在企业列表中,单击您想要查看的企业。

  4. 在企业帐户边栏中,单击“设置”。

  5. 在“ 设置”下,单击“身份验证安全性” 。

  6. 在“OpenID Connect 单一登录”下,选择“需要 OIDC 单一登录”。

  7. 要继续设置并重定向到 Entra ID,请单击“保存”****。

  8. 在 GitHub Enterprise Cloud 将你重定向到 IdP 后,登录,然后按照说明授予同意并安装 GitHub Enterprise Managed User (OIDC) 应用程序。 在 Entra ID 通过 OIDC 请求 GitHub Enterprise Managed Users 的权限后,启用“代表组织同意”,然后单击“接受”

    警告:**** 必须以具有全局管理员权限的用户身份登录到 Entra ID,才能同意安装 GitHub Enterprise Managed User (OIDC) 应用程序。

  9. 要确保身份提供程序将来不可用时仍可在 GitHub.com 上访问企业,请单击“下载”、“打印”或“复制”以保存恢复代码************。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。

  10. 单击“启用 OIDC 身份验证”。

启用设置

启用 OIDC SSO 后,启用预配。 请参阅“为 Enterprise Managed User 配置 SCIM 预配”。

启用来宾协作者

你可以使用来宾协作者的角色向企业中的供应商和承包商授予有限的访问权限。 与企业成员不同,来宾协作者只能访问其所属组织内部的存储库。

要将来宾协作者与 OIDC 身份验证配合使用,可能需要更新 Entra ID 中的设置。 请参阅“启用来宾协作者”。