为企业配置 SAML 单点登录

关于 SAML SSO

SAML SSO 允许你从 SAML IdP 集中控制和安全访问你的企业。当未经身份验证的用户在浏览器中访问你的企业时，GitHub AE 会将用户重定向到你的 SAML IdP 进行身份验证。在用户使用 IdP 上的帐户成功进行身份验证后，IdP 会将用户重定向回你的企业。 GitHub AE 将验证 IdP 的响应，然后授予用户访问权限。

当用户在 IdP 上成功进行身份验证后，用户对你的企业的 SAML 会话将在浏览器中激活 24 小时。 24 小时后，用户必须再次使用您的 IdP 进行身份验证。

要使某人成为企业所有者，必须在 IdP 中委派访问权限。如果使用 Azure AD 和 SCIM，请为用户分配企业所有者角色。对于其他 IdP，请在 IdP 上的用户帐户的 SAML 断言中包含 administrator 属性，其值为 true。有关企业所有者的详细信息，请参阅“企业中的角色”。有关使用 Azure AD 进行身份验证和预配的详细信息，请参阅“使用 Azure AD 为企业配置身份验证和预配”。

默认情况下，当您分配或取消分配应用程序时，您的 IdP 不会自动与 GitHub AE 通信。 GitHub AE 上的资源的访问，使用 SAML 实时 (JIT 创建用户帐户，) 首次导航到 GitHub AE 并通过通过 IdP 进行身份验证来登录。当你授予 GitHub AE 的访问权限时，你可能需要手动通知用户，并且在停用期间必须手动停用 GitHub AE 上的用户帐户。

或者，当你在 IdP 上分配或取消分配应用程序时不使用 SAML JIT 预配，而是使用 SCIM 自动创建或暂停用户帐户和授予或拒绝对你的企业的访问权限。有关详细信息，请参阅“使用 SCIM 为企业配置用户预配”。

支持的身份提供程序

GitHub AE 支持 SAML SSO 与采用 SAML 2.0 标准的 IdP 一起使用。有关详细信息，请参阅 OASIS 网站上的 SAML Wiki。

GitHub 官方支持和内部测试以下 IdP。

Azure Active Directory (Azure AD)租户
Okta (beta)

启用 SAML SSO

您将在初始化过程中输入SAML IdP 的详细信息，以配置 GitHub AE 的身份和访问管理。有关详细信息，请参阅“初始化 GitHub AE”。

以下 IdP 提供有关为 GitHub AE 配置 SAML SSO 的文档。如果您的 IdP 未列出，请与您的 IdP 联系，以请求 GitHub AE。

IdP	详细信息
Azure AD	"使用 Azure AD 为企业配置身份验证和预配"
Okta	"使用 Okta 为企业配置身份验证和预配"

在 GitHub AE 的初始化期间，必须在 IdP 上将 GitHub AE 配置为 SAML 服务提供程序 (SP)。您必须在 IdP 上输入多个唯一值以将 GitHub AE 配置为有效的 SP。有关详细信息，请参阅“SAML 配置参考”。

编辑 SAML SSO 配置

如果 IdP 的详细信息发生更改，则需要编辑你的企业的 SAML SSO 配置。例如，如果 IdP 的证书过期，您可以编辑公共证书的值。

注意：如果您因 GitHub AE 无法与您的 SAML IDP 通信而无法登录企业，您可以联系 GitHub 支持帮助您访问 GitHub AE SAML SSO 配置。有关详细信息，请参阅“联系 GitHub 支持”。

在 GitHub AE 的右上角，单击你的个人资料照片，然后单击“企业设置”。 1. 在企业帐户边栏中，单击“设置”。
在“ 设置”下，单击“身份验证安全性” 。
在“SAML single sign-on（SAML 单点登录）”下，键入 IdP 的新详细信息。
在你的公共证书下，在当前签名和摘要方法的右侧，单击。
选择“签名方法”和“摘要方法”下拉菜单，然后单击 SAML 颁发者使用的哈希算法。
要确保输入的信息是正确的，请单击“测试 SAML 配置”。
单击“保存” 。
（可选）要自动预配和取消预配你的企业的用户帐户，请使用 SCIM 重新配置用户预配。有关详细信息，请参阅“使用 SCIM 为企业配置用户预配”。

禁用 SAML SSO

警告：如果禁用你的企业的 SAML SSO，没有现有 SAML SSO 会话的用户不能登录你的企业。你的企业上的 SAML SSO 会话在 24 小时后结束。