关于企业在 GitHub.com 上的 SAML SSO
如果企业成员在 GitHub.com 上管理他们自己的用户帐户,你可将 SAML 身份验证配置为企业或组织的附加访问限制。 SAML 单一登录 (SSO) 为使用 GitHub Enterprise Cloud 的组织所有者和企业所有者提供了一种控制安全访问存储库、问题和拉取请求等组织资源的方法。
如果配置了 SAML SSO,组织成员将继续在 GitHub.com 上登录到其个人帐户。 当成员访问组织内的大部分资源时,GitHub 会将成员重定向到你的 IdP 以进行身份验证。 身份验证成功后,IdP 将该成员重定向回 GitHub。 有关详细信息,请参阅“关于使用 SAML 单点登录进行身份验证”。
注意: SAML SSO 不会取代 GitHub 的正常登录过程。 除非使用 Enterprise Managed Users,否则成员将继续在 GitHub.com 上登录到其个人帐户,并且每个个人帐户都将链接到 IdP 中的外部标识。
企业所有者可以通过 SAML IdP 跨企业帐户拥有的所有组织启用 SAML SSO 和集中式身份验证。 为企业帐户启用 SAML SSO 后,默认情况下会为您的企业帐户拥有的所有组织实施 SAML SSO。 所有成员都需要使用 SAML SSO 进行身份验证才能访问其所属的组织,并且企业所有者在访问企业帐户时需要使用 SAML SSO 进行身份验证。 有关详细信息,请参阅“关于身份和访问管理”和“为企业配置 SAML 单点登录”。
或者,可使用 Enterprise Managed Users 预配和管理企业成员的帐户。 若要帮助确定是 SAML SSO 还是 Enterprise Managed Users 更适合你的企业,请参阅“为 GitHub Enterprise Cloud 选择企业类型”。
如果 SAML 配置错误或标识提供者 (IdP) 问题阻止你使用 SAML SSO,你可以使用恢复代码访问你的企业。 有关详细信息,请参阅“管理企业的恢复代码”。
启用 SAML SSO 后,根据使用的 IDP,您可能能够启用额外的身份和访问管理功能。
注意:无法为企业帐户配置 SCIM,除非已为 Enterprise Managed Users 创建帐户。 有关详细信息,请参阅“关于 Enterprise Managed Users”。
如果不使用 Enterprise Managed Users,并且想要使用 SCIM 预配,则必须在组织级别而不是企业级别配置 SAML SSO。 有关详细信息,请参阅“关于使用 SAML 单一登录进行的标识和访问管理”。
如果使用 Microsoft Entra ID(以前称为 Azure AD)作为 IdP,可以使用团队同步来管理每个组织中的团队成员身份。 如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 有关详细信息,请参阅“管理企业中组织的团队同步”。
如果企业帐户拥有的任何组织已配置为使用 SAML SSO,则为企业帐户启用 SAML SSO 时,有一些特殊注意事项。 有关详细信息,请参阅“将你的 SAML 配置从组织切换到企业帐户”。
有关 GitHub Actions 上 SAML SSO 配置的详细信息,请参阅“为企业配置 SAML 单点登录”。
支持的 IdP
我们测试并正式支持以下 IdP。 对于 SAML SSO,我们向执行 SAML 2.0 标准的所有身份提供程序提供有限的支持。 有关详细信息,请参阅 OASIS 网站上的 SAML Wiki。
IdP | SAML | 团队同步 |
---|---|---|
Active Directory 联合身份验证服务 (AD FS) | ||
Entra ID | ||
Okta | ||
OneLogin | ||
PingOne | ||
Shibboleth |
延伸阅读
- "将 SAML 用于企业 IAM"
- OASIS 网站上的 SAML Wiki
- IETF 网站上的跨域身份管理系统:协议 (RFC 7644)