关于企业帐户的 SAML 单点登录
SAML 单一登录 (SSO) 为使用 GitHub Enterprise Cloud 的组织所有者和企业所有者提供了一种控制安全访问存储库、问题和拉取请求等组织资源的方法。 企业所有者可以通过 SAML IdP 跨企业帐户拥有的所有组织启用 SAML SSO 和集中式身份验证。 为企业帐户启用 SAML SSO 后,默认情况下会为您的企业帐户拥有的所有组织实施 SAML SSO。 所有成员都需要使用 SAML SSO 进行身份验证才能访问其所属的组织,并且企业所有者在访问企业帐户时需要使用 SAML SSO 进行身份验证。
如果企业帐户拥有的任何组织已配置为使用 SAML SSO,则为企业帐户启用 SAML SSO 时,有一些特殊注意事项。
在组织级别配置 SAML SSO 时,必须在 IdP 中使用唯一的 SSO 租户配置每个组织,这意味着成员将与他们已成功进行身份验证的每个组织的唯一 SAML 标识记录相关联。 如果改为为企业帐户配置 SAML SSO,则每个企业成员将有一个 SAML 标识,该标识用于企业帐户拥有的所有组织。
为企业帐户配置 SAML SSO 后,新配置将覆盖企业帐户拥有组织的任何现有 SAML SSO 配置。 你配置的任何团队同步设置也将从这些组织中移除。
-
删除组织的团队同步设置后,即会从 GitHub 团队中删除组织成员。
-
如果你打算在为企业启用 SAML SSO 之前重新启用团队同步,请记下受影响的组织中的当前团队同步配置。 请参阅 管理组织中的团队同步。
重新启用团队同步后,需要将组织成员添加回 GitHub 团队。
-
安排一个时间,在人员不经常使用组织资源的时段,对组织的团队同步设置进行更改。 对团队同步设置进行更改可能会让成员面临一段故障时间。
当企业所有者为企业帐户启用 SAML 时,不会通知企业成员。 如果以前在组织级别强制执行 SAML SSO,则直接导航到组织资源时,成员不应看到重大差异。 系统将继续提示成员通过 SAML 进行身份验证。 如果成员通过 IdP 仪表板导航到组织资源,则需要单击企业级应用的新磁贴,而不是组织级应用的旧磁贴。 然后,成员将能够选择要导航到的组织。
任何以前为组织授权的 personal access token、SSH 密钥、OAuth apps 和 GitHub Apps 将继续获得组织授权。 但是,成员需要向从未授权用于组织的 SAML SSO 的任何 PAT、SSH 密钥、OAuth apps 和 GitHub Apps 授权。
为企业帐户配置 SAML SSO 时,目前不支持 SCIM 预配。 如果当前对企业帐户拥有的组织使用 SCIM,则切换到企业级配置时,将丢失此功能。
在为企业帐户配置 SAML SSO 之前,无需删除任何组织级 SAML 配置,但建议你考虑将其删除。 如果将来已为企业帐户禁用 SAML,则任何剩余的组织级 SAML 配置都将生效。 删除组织级配置可以防止将来出现意外问题。
有关在组织或企业级别实施 SAML SSO 的决定的详细信息,请参阅 关于身份和访问管理。
将你的 SAML 配置从组织切换到企业帐户
- 为企业帐户强制实施 SAML SSO,确保为所有组织成员分配或授予对用于企业帐户的 IdP 应用的访问权限。 有关详细信息,请参阅“为企业配置 SAML 单点登录”。
- 如果保留任何组织级 SAML 配置以防止混淆,请考虑在 IdP 中隐藏组织级应用的磁贴。
- 为企业成员提供更改建议。
- 成员将无法再通过单击 IdP 仪表板中组织的 SAML 应用来访问其组织。 他们需要使用为企业帐户配置的新应用。
- 成员需要授权以前未授权用于其组织的 SAML SSO 的任何 PAT 或 SSH 密钥。 有关详细信息,请参阅 授权用于 SAML 单点登录的个人访问令牌 和 授权用于 SAML 单点登录的 SSH 密钥。
- 成员可能需要重新授权以前为组织授权的 OAuth apps。 有关详细信息,请参阅“关于使用 SAML 单点登录进行身份验证”。