注意:GitHub AE 单一登录 (SSO) 对 Okta 的支持目前处于 beta 版本。
关于使用 Okta 进行身份验证和用户预配
你可以使用 Okta 作为 GitHub AE 的标识提供者 (IdP),这可允许你的 Okta 用户使用其 Okta 凭据登录到 GitHub AE。
要使用 Okta 作为 GitHub AE 的 IdP,可以将 GitHub AE 应用添加到 Okta、将 Okta 配置为 GitHub AE 中的 IdP,并为你的 Okta 用户和组预配访问权限。
在 GitHub AE 上使用 IdP for IAM 时,SAML SSO 会控制并保护对企业资源(如存储库、问题和拉取请求)的访问。 对 IdP 进行更改时,SCIM 会自动创建用户帐户并管理对 你的企业 的访问权限。 还可以将 GitHub AE 上的团队与 IdP 上的组同步。 有关详细信息,请参阅以下文章。
启用 SCIM 后,你在 Okta 中为其分配了 GitHub AE 应用程序的任何用户都可以使用以下预配。
以下预配功能可用于你分配给 GitHub AE 应用程序的所有 Okta 用户。
功能 | 说明 |
---|---|
推送新用户 | 在 Okta 中创建新用户时,用户将添加到 GitHub AE。 |
推送用户停用 | 在 Okta 中停用用户时,它将在 GitHub AE 上从你的企业中暂停该用户。 |
推送个人资料更新 | 在 Okta 中更新用户的配置文件时,它将在 GitHub AE 上从你的企业中更新该用户的成员身份元数据。 |
重新激活用户 | 在 Okta 中重新激活用户时,它将在 GitHub AE 上从你的企业中取消暂停该用户。 |
有关在 你的企业 上管理企业的身份验证和访问控制的详细信息,请参阅“将 SAML 用于企业 IAM”。
先决条件
-
若要使用 Okta 配置 GitHub AE 的身份验证和用户预配,必须有 Okta 帐户和租户。
-
必须在 IdP 上创建并使用专用计算机用户帐户,以与 GitHub AE 上的第一个企业所有者帐户相关联。 将用户帐户的凭据安全地存储在密码管理器中。 有关详细信息,请参阅“使用 SCIM 为企业配置用户预配”。
在 Okta 中添加 GitHub AE 应用程序
- 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击“浏览应用目录”。
- 在搜索字段中,键入“GitHub AE”,然后单击结果中的“GitHub AE”。
- 单击“添加”。
- 对于“基 URL”,请键入 GitHub AE上企业的 URL。
- 单击“Done”(完成) 。
为 GitHub AE 启用 SAML SSO
要为 GitHub AE 启用单一登录 (SSO),必须将 GitHub AE 配置为使用 Okta 提供的登录 URL、证书颁发者 URL 和公共证书。 可以在 GitHub AE 的 Okta 应用中找到这些详细信息。
- 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。 1. 在应用程序名称下,单击“登录”。 1. 在“登录方法”下,单击“查看设置说明”。
- 记下“登录 URL”、“证书颁发者”和“公共证书”详细信息。
- 使用这些详细信息在 GitHub AE 上为企业启用 SAML SSO。 有关详细信息,请参阅“为企业配置 SAML 单点登录”。
注意:要从 GitHub AE 测试 SAML 配置,必须将你的 Okta 用户帐户分配给 GitHub AE 应用。
启用 API 集成
Okta 应用使用 GitHub AE 的 REST API 进行 SCIM 预配。 可以通过使用 GitHub AE 的personal access token配置 Okta 来启用和测试对 API 的访问。
-
在 GitHub AE 中,生成具有
admin:enterprise
范围的personal access token。 有关详细信息,请参阅“创建个人访问令牌”。 -
在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。 1. 单击“预配”。
-
单击“配置 API 集成”。
-
选择“启用 API 集成”。
-
对于“API 令牌”,请键入你前面生成的 GitHub AE personal access token。
-
单击“测试 API 凭据”。
注意:如果看到 Error authenticating: No results for users returned
,请确认已为 GitHub AE 启用 SSO。 有关详细信息,请参阅“为 GitHub AE 启用 SAML SSO”。
配置 SCIM 预配设置
此过程演示如何为 Okta 预配配置 SCIM 设置。 这些设置定义自动将 Okta 用户帐户预配到 GitHub AE 时将使用哪些功能。
- 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。 1. 单击“预配”。
- 在“设置”下,单击“到应用”。
- 在“预配到应用”右侧,单击“编辑”。
- 在“创建用户”右侧,选择“启用”。
- 在“更新用户属性”右侧,选择“启用”。
- 在“停用用户”右侧,选择“启用”。
- 单击“ 保存”。
允许 Okta 用户和组访问 GitHub AE
你可以为单个 Okta 用户或整个组预配对 GitHub AE 的访问权限。
为 Okta 用户预配访问权限
在你的 Okta 用户可以使用其凭据登录到 GitHub AE 之前,必须将这些用户分配到 GitHub AE 的 Okta 应用。
-
在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。 1. 单击 GitHub AE 应用。
-
单击“分配”。
-
选择“分配”下拉菜单,然后单击“分配给人员” 。
-
在所需用户帐户的右侧,单击“分配”。
-
在“角色”的右侧,选择下拉菜单,然后单击用户的角色。
-
单击“保存并返回”。
-
单击“完成”。
为 Okta 组预配访问权限
可以将你的 Okta 组映射到 GitHub AE 中的团队。 然后,Okta 组的成员将自动成为映射的 GitHub AE 团队的成员。 有关详细信息,请参阅“将 Okta 组映射到团队”。