为企业托管用户配置 SAML 单一登录

本文内容

可以通过配置安全断言标记语言 (SAML) 单一登录 (SSO) 来自动管理对 GitHub 上企业帐户的访问。

若要使用标识提供者管理企业中的用户,企业必须启用 Enterprise Managed Users,它适用于 GitHub Enterprise Cloud。 有关详细信息,请参阅“关于 Enterprise Managed Users”。

关于 Enterprise Managed Users 的 SAML 单一登录

通过 Enterprise Managed Users,你的企业使用你的企业标识提供者 (IdP) 对所有成员进行身份验证。 你的企业成员将通过 IdP 登录,而不是使用 GitHub 用户名和密码登录到 GitHub。

Enterprise Managed Users 支持以下 IdP:

  • Azure Active Directory (Azure AD)
  • Okta
  • PingFederate

配置 SAML SSO 后,我们建议存储恢复代码,以便在标识提供者不可用时恢复对企业的访问权限。

如果目前使用 SAML SSO 进行身份验证,并且更希望使用 OIDC 并受益于 CAP 支持,则可以遵循迁移路径。 有关详细信息,请参阅“从 SAML 迁移到 OIDC”。

注意:启用 SAML SSO 后,可在 GitHub 上为现有的 SAML 配置所更新的唯一设置是 SAML 证书。 如果需要更新登录 URL 或颁发者,必须首先禁用 SAML SSO,然后使用新设置重新配置 SAML SSO。

配置 Enterprise Managed Users 的 SAML 单一登录

若要为 具有托管用户的企业 配置 SAML SSO,必须在 IdP 上配置应用程序,然后在 GitHub.com 上配置企业。 配置 SAML SSO 后,可以配置用户预配。

要在 IdP 上安装和配置 GitHub Enterprise Managed User 应用程序,必须在受支持的 IdP 上拥有租户和管理访问权限。

如果需要重置设置用户的密码,请通过 GitHub 支持门户 联系 GitHub 支持。

  1. 配置标识提供者
  2. 配置企业
  3. 启用设置

配置标识提供者

要配置 IdP,请按照他们提供的说明在 IdP 上配置 GitHub Enterprise Managed User 应用程序。

  1. 要安装 GitHub Enterprise Managed User 应用程序,请单击下面的 IdP 链接:

    注意:对 PingFederate 的支持目前为公共 beta 版本,可能会发生更改。

  2. 要配置 GitHub Enterprise Managed User 应用程序和 IdP,请单击以下链接,并按照 IdP 提供的说明进行操作:

  3. 因此,你可以测试和配置企业,将自己或将在 GitHub 上配置 SAML SSO 的用户分配到 IdP 上的 GitHub Enterprise Managed User 应用程序。

  4. 若要能够继续在 GitHub 上配置企业,请找到并记下在 IdP 上安装的应用程序的以下信息。

    其他名称说明
    IdP 登录 URL登录 URL、IdP URLIdP 上的应用程序的 URL
    IdP 标识符 URL颁发者用于 SAML 身份验证的服务提供商的 IdP 标识符
    签名证书,Base64 编码公用证书IdP 用于对身份验证请求进行签名的公共证书

配置企业

在标识提供者上安装并配置 GitHub Enterprise Managed User 应用程序之后,便可以配置企业。

  1. 使用用户名 @SHORT-CODE_admin 以企业的设置用户身份登录到 GitHub.com,其中 SHORT-CODE 需替换为企业的短代码。

  2. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  3. 在企业列表中,单击您想要查看的企业。

  4. 在企业帐户边栏中,单击“设置”。

  5. 在“ 设置”下,单击“身份验证安全性” 。

  6. 在“SAML 单一登录”下,选择“要求 SAML 身份验证”。

  7. 在“登录 URL”下,键入在配置 IdP 时记下的用于单一登录请求的 IdP 的 HTTPS 终结点。

  8. (可选)在“颁发者”字段下,输入在配置 IdP 时记下的 SAML 颁发者 URL,以验证发送的消息的真实性。

  9. 在“公共证书”下,粘贴在配置 IdP 时记下的证书以验证 SAML 响应。

  10. 在你的公共证书下,在当前签名和摘要方法的右侧,单击

    SAML 设置中当前签名方法和摘要方法的屏幕截图。 铅笔图标以橙色轮廓突出显示。

  11. 选择“签名方法”和“摘要方法”下拉菜单,然后单击 SAML 颁发者使用的哈希算法。

  12. 在为企业启用 SAML SSO 之前,单击“测试 SMAL 配置”,以确保已输入的信息正确。 此测试使用服务提供商发起(SP 发起的)身份验证,并且必须先成功,然后才能保存 SAML 设置。

  13. 单击“ 保存”。

    注意:当企业需要 SAML SSO 时,安装用户将不再有权访问企业,但将保持登录到 GitHub。 只有 IdP 预配的 托管用户帐户 才能访问企业。

  14. 要确保在标识提供者将来不可用时仍可访问企业,请单击“下载”、“打印”或“复制”以保存恢复代码 。 有关详细信息,请参阅“下载企业帐户的单一登录恢复代码”。

启用设置

启用 SAML SSO 后,启用预配。 有关详细信息,请参阅“为 Enterprise Managed User 配置 SCIM 预配”。