Skip to main content

About SAML for enterprise IAM

You can use SAML single sign-on (SSO) to centrally manage access to organizations owned by your enterprise on GitHub.com.

About SAML SSO for your enterprise on GitHub.com

If your enterprise members manage their own user accounts on GitHub.com, you can configure SAML authentication as an additional access restriction for your enterprise or organization. SAML 单一登录 (SSO) 为使用 GitHub Enterprise Cloud 的组织所有者和企业所有者提供了一种控制安全访问存储库、问题和拉取请求等组织资源的方法。

如果配置了 SAML SSO,组织成员将继续在 GitHub.com 上登录到其个人帐户。 当成员访问组织内的大部分资源时,GitHub 会将成员重定向到你的 IdP 以进行身份验证。 身份验证成功后,IdP 将该成员重定向回 GitHub。 有关详细信息,请参阅“关于使用 SAML 单点登录进行身份验证”。

注意: SAML SSO 不会取代 GitHub 的正常登录过程。 除非使用 Enterprise Managed Users,否则成员将继续在 GitHub.com 上登录到其个人帐户,并且每个个人帐户都将链接到 IdP 中的外部标识。

企业所有者可以通过 SAML IdP 跨企业帐户拥有的所有组织启用 SAML SSO 和集中式身份验证。 为企业帐户启用 SAML SSO 后,默认情况下会为您的企业帐户拥有的所有组织实施 SAML SSO。 所有成员都需要使用 SAML SSO 进行身份验证才能访问其所属的组织,并且企业所有者在访问企业帐户时需要使用 SAML SSO 进行身份验证。 For more information, see "About identity and access management" and "Configuring SAML single sign-on for your enterprise."

Alternatively, you can provision and manage the accounts of your enterprise members with Enterprise Managed Users. To help you determine whether SAML SSO or Enterprise Managed Users is better for your enterprise, see "Choosing an enterprise type for GitHub Enterprise Cloud."

如果 SAML 配置错误或标识提供者 (IdP) 问题阻止你使用 SAML SSO,你可以使用恢复代码访问你的企业。 For more information, see "Managing recovery codes for your enterprise."

After you enable SAML SSO, depending on the IdP you use, you may be able to enable additional identity and access management features.

注意:无法为企业帐户配置 SCIM,除非已为 Enterprise Managed Users 创建帐户。 有关详细信息,请参阅“About Enterprise Managed Users”。

如果不使用 Enterprise Managed Users,并且想要使用 SCIM 预配,则必须在组织级别而不是企业级别配置 SAML SSO。 有关详细信息,请参阅“关于使用 SAML 单一登录进行的标识和访问管理”。

If you use Microsoft Entra ID (previously known as Azure AD) as your IdP, you can use team synchronization to manage team membership within each organization. 如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 For more information, see "Managing team synchronization for organizations in your enterprise."

如果企业帐户拥有的任何组织已配置为使用 SAML SSO,则为企业帐户启用 SAML SSO 时,有一些特殊注意事项。 For more information, see "Switching your SAML configuration from an organization to an enterprise account."

For more information about the configuration of SAML SSO on GitHub Enterprise Cloud, see "Configuring SAML single sign-on for your enterprise." To learn how to configure both authentication and provisioning for GitHub.com, see the articles for individual IdPs in "Using SAML for enterprise IAM."

Supported IdPs

We test and officially support the following IdPs. For SAML SSO, we offer limited support for all identity providers that implement the SAML 2.0 standard. For more information, see the SAML Wiki on the OASIS website.

IdPSAMLTeam synchronization
Active Directory Federation Services (AD FS)
Entra ID
Okta
OneLogin
PingOne
Shibboleth

Further reading