注意:对 Enterprise Managed Users 的 OpenID Connect (OIDC) 和条件访问策略 (CAP) 支持仅适用于 Azure AD。
关于适用于企业托管用户的 OIDC
通过 Enterprise Managed Users,企业使用标识提供者 (IdP) 对所有成员进行身份验证。 可以使用 OpenID Connect (OIDC) 管理 具有托管用户的企业 的身份验证。 启用 OIDC SSO 是一个一键式设置过程,证书由 GitHub 和你的 IdP 管理。
企业使用 OIDC SSO 时,GitHub 将自动使用 IdP 的条件访问策略 (CAP) IP 条件来验证用户与 GitHub 的交互,当成员更改 IP 地址时,每次使用 personal access token 或 SSH 密钥时都会验证。 有关详细信息,请参阅“关于对 IdP 的条件访问策略的支持”。
可以通过从 IdP 更改为 GitHub 颁发的 ID 令牌的生存期属性,调整会话的生存期,以及 托管用户帐户 需要对 IdP 重新进行身份验证的频率。 默认生存期为 1 小时。 有关详细信息,请参阅 Azure AD 文档中的“Microsoft 标识平台中的可配置令牌生存期”。
如果目前使用 SAML SSO 进行身份验证,并且更希望使用 OIDC 并受益于 CAP 支持,则可以遵循迁移路径。 有关详细信息,请参阅“从 SAML 迁移到 OIDC”。
警告:如果使用 GitHub Enterprise Importer 从 你的 GitHub Enterprise Server 实例 迁移组织,请确保使用一个豁免于 Azure AD CAP 的服务帐户,否则迁移可能会被阻止。
标识提供者支持
对 OIDC 的支持可供使用 Azure Active Directory (Azure AD) 的客户使用。
每个 Azure AD 租户只能支持一个与 Enterprise Managed Users 的 OIDC 集成。 如果要将 Azure AD 连接到 GitHub 上的多个企业,请改用 SAML。 有关详细信息,请参阅“为 Enterprise Managed Users 配置 SAML 单一登录”。
为企业托管用户配置 OIDC
-
使用用户名“@SHORT-CODE_admin”以新企业的安装用户身份登录到 GitHub.com。
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。
-
在企业列表中,单击您想要查看的企业。
-
在企业帐户边栏中,单击“设置”。
-
在“ 设置”下,单击“身份验证安全性” 。
-
选择“要求 OIDC 单一登录”。
-
若要继续设置并重定向到 Azure AD,请单击“保存”。
-
在 GitHub Enterprise Cloud 将你重定向到 IdP 后,登录,然后按照说明授予同意并安装 GitHub Enterprise Managed User (OIDC) 应用程序。 在 Azure AD 通过 OIDC 请求 GitHub Enterprise Managed Users 的权限后,启用“代表组织同意”,然后单击“接受” 。
1. 要确保在标识提供者将来不可用时仍可访问企业,请单击“下载”、“打印”或“复制”以保存恢复代码 。 有关详细信息,请参阅“[AUTOTITLE](/admin/identity-and-access-management/managing-recovery-codes-for-your-enterprise/downloading-your-enterprise-accounts-single-sign-on-recovery-codes)”。警告:必须以具有全局管理员权限的用户身份登录到 Azure AD,才能同意安装 GitHub Enterprise Managed User (OIDC) 应用程序。
启用设置
启用 OIDC SSO 后,启用预配。 有关详细信息,请参阅“为企业托管用户配置 SCIM 预配”。