Skip to main content
我们经常发布文档更新,此页面的翻译可能仍在进行中。 有关最新信息,请访问英语文档
GitHub AE 目前处于受限版。
All products
企业管理员

使用 Okta 为企业配置身份验证和预配

本文内容

可以使用 Okta 作为标识提供者 (IdP) 来集中管理 你的企业的身份验证和用户预配。

谁可以使用此功能

Enterprise owners can configure authentication and provisioning for GitHub AE.

注意:GitHub AE 单一登录 (SSO) 对 Okta 的支持目前处于 beta 版本。

关于使用 Okta 进行身份验证和用户预配

你可以使用 Okta 作为 GitHub AE 的标识提供者 (IdP),这可允许你的 Okta 用户使用其 Okta 凭据登录到 GitHub AE。

要使用 Okta 作为 GitHub AE 的 IdP,可以将 GitHub AE 应用添加到 Okta、将 Okta 配置为 GitHub AE 中的 IdP,并为你的 Okta 用户和组预配访问权限。

在 GitHub AE 上使用 IdP for IAM 时,SAML SSO 会控制并保护对企业资源(如存储库、问题和拉取请求)的访问。 对 IdP 进行更改时,SCIM 会自动创建用户帐户并管理对 你的企业 的访问权限。 还可以将 GitHub AE 上的团队与 IdP 上的组同步。 有关详细信息,请参阅以下文章。

启用 SCIM 后,你在 Okta 中为其分配了 GitHub AE 应用程序的任何用户都可以使用以下预配。

以下预配功能可用于你分配给 GitHub AE 应用程序的所有 Okta 用户。

功能说明
推送新用户在 Okta 中创建新用户时,用户将添加到 GitHub AE。
推送用户停用在 Okta 中停用用户时,它将在 GitHub AE 上从你的企业中暂停该用户。
推送个人资料更新在 Okta 中更新用户的配置文件时,它将在 GitHub AE 上从你的企业中更新该用户的成员身份元数据。
重新激活用户在 Okta 中重新激活用户时,它将在 GitHub AE 上从你的企业中取消暂停该用户。

有关在 你的企业 上管理企业的身份验证和访问控制的详细信息,请参阅“将 SAML 用于企业 IAM”。

先决条件

  • 若要使用 Okta 配置 GitHub AE 的身份验证和用户预配,必须有 Okta 帐户和租户。

  • 必须在 IdP 上创建并使用专用计算机用户帐户,以与 GitHub AE 上的第一个企业所有者帐户相关联。 将用户帐户的凭据安全地存储在密码管理器中。 有关详细信息,请参阅“使用 SCIM 为企业配置用户预配”。

在 Okta 中添加 GitHub AE 应用程序

  1. 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击“浏览应用目录”。
  2. 在搜索字段中,键入“GitHub AE”,然后单击结果中的“GitHub AE”。
  3. 单击“添加”。
  4. 对于“基 URL”,请键入 GitHub AE上企业的 URL。
  5. 单击“Done”(完成) 。

为 GitHub AE 启用 SAML SSO

要为 GitHub AE 启用单一登录 (SSO),必须将 GitHub AE 配置为使用 Okta 提供的登录 URL、证书颁发者 URL 和公共证书。 可以在 GitHub AE 的 Okta 应用中找到这些详细信息。

  1. 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。 1. 在应用程序名称下,单击“登录”。 1. 在“登录方法”下,单击“查看设置说明”。
  2. 记下“登录 URL”、“证书颁发者”和“公共证书”详细信息。
  3. 使用这些详细信息在 GitHub AE 上为企业启用 SAML SSO。 有关详细信息,请参阅“为企业配置 SAML 单点登录”。

注意:要从 GitHub AE 测试 SAML 配置,必须将你的 Okta 用户帐户分配给 GitHub AE 应用。

启用 API 集成

Okta 应用使用 GitHub AE 的 REST API 进行 SCIM 预配。 可以通过使用 GitHub AE 的personal access token配置 Okta 来启用和测试对 API 的访问。

  1. 在 GitHub AE 中,生成具有 admin:enterprise 范围的personal access token。 有关详细信息,请参阅“Managing your personal access tokens”。

  2. 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。 1. 单击“预配”。

  3. 单击“配置 API 集成”。

  4. 选择“启用 API 集成”。

  5. 对于“API 令牌”,请键入你前面生成的 GitHub AE personal access token。

  6. 单击“测试 API 凭据”。

注意:如果看到 Error authenticating: No results for users returned,请确认已为 GitHub AE 启用 SSO。 有关详细信息,请参阅“为 GitHub AE 启用 SAML SSO”。

配置 SCIM 预配设置

此过程演示如何为 Okta 预配配置 SCIM 设置。 这些设置定义自动将 Okta 用户帐户预配到 GitHub AE 时将使用哪些功能。

  1. 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。 1. 单击“预配”。
  2. 在“设置”下,单击“到应用”。
  3. 在“预配到应用”右侧,单击“编辑”。
  4. 在“创建用户”右侧,选择“启用”。
  5. 在“更新用户属性”右侧,选择“启用”。
  6. 在“停用用户”右侧,选择“启用”。
  7. 单击“ 保存”。

允许 Okta 用户和组访问 GitHub AE

你可以为单个 Okta 用户或整个组预配对 GitHub AE 的访问权限。

为 Okta 用户预配访问权限

在你的 Okta 用户可以使用其凭据登录到 GitHub AE 之前,必须将这些用户分配到 GitHub AE 的 Okta 应用。

  1. 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。

  2. 单击“分配”。

  3. 选择“分配”下拉菜单,然后单击“分配给人员” 。

  4. 在所需用户帐户的右侧,单击“分配”。

  5. 在“角色”的右侧,选择下拉菜单,然后单击用户的角色。

  6. 单击“保存并返回”。

  7. 单击“完成”。

为 Okta 组预配访问权限

可以将你的 Okta 组映射到 GitHub AE 中的团队。 然后,Okta 组的成员将自动成为映射的 GitHub AE 团队的成员。 有关详细信息,请参阅“将 Okta 组映射到团队”。

延伸阅读