Enterprise マネージド ユーザーの SAML シングル サインオンの構成

Security Assertion Markup Language (SAML) シングル サインオン (SSO) を構成することで、GitHub の Enterprise アカウントへのアクセスを自動的に管理できます。

この機能を使用できるユーザーについて

GitHub Enterprise Cloud で Enterprise Managed Users を使用するエンタープライズ アカウントで使用できます。 「Enterprise Managed Users について」をご覧ください。

この記事の内容

この記事の手順に従う前に、企業がマネージド ユーザーを使用していることを確認してください。 これには、エンタープライズ ビューの画面上部に [アカウント名で管理されているユーザー] ヘッダー バーが表示されているかを確認します。 表示されていた場合、企業ではマネージド ユーザーが使用されているため、この記事の手順に従うことができます。

企業で個人用アカウントを使用している場合は、別のプロセスに従って SAML シングル サインオンを構成する必要があります。 「Enterprise 向けの SAML シングルサインオンを設定する」をご覧ください。

Enterprise Managed Users の SAML SSO について

Enterprise Managed Users では、GitHub.com の Enterprise リソースへのアクセスは、ID プロバイダー (IdP) を介して認証する必要があります。 GitHub ユーザー名とパスワードを使用して GitHub にサインインする代わりに、Enterprise のメンバーは IdP を介してサインインします。

SAML SSO を構成した後は、IdP が利用できない場合に Enterprise へのアクセスを回復できるように、回復用コードを格納することをお勧めします。

現在、認証に SAML SSO を使っており、OIDC を使って CAP サポートの恩恵を受けたい場合は、移行パスをたどることができます。 詳しくは、「SAML から OIDC への移行」を参照してください。

前提条件

  • IdP の統合要件とサポート レベルを理解します。 「Enterprise Managed Users について」をご覧ください。
  • IdP は SAML 2.0 仕様に準拠している必要があります。 OASIS の Web サイトの「SAML Wiki」をご覧ください。
  • IdP へのテナント管理者アクセスが必要です。
  • 新しい企業に対して SAML SSO を構成する場合は、最初の構成プロセスでこれまでの全手順を完了してください。 「Enterprise Managed Users の概要」をご覧ください。

Enterprise Managed Users の SAML SSO の構成

マネージド ユーザーを含む Enterprise の SAML SSO を構成するには、IdP でアプリケーションを構成してから、GitHub.com で Enterprise を構成する必要があります。 SAML SSO を構成したら、ユーザー プロビジョニングを構成できます。

  1. IdP を構成する
  2. Enterprise を構成する
  3. プロビジョニングを有効にする

IdP を構成する

  1. パートナー IdP を使用する場合、GitHub Enterprise Managed User アプリケーションをインストールするには、次のいずれかのリンクをクリックします。

  2. IdP で Enterprise Managed Users の SAML SSO を構成するには、次のドキュメントを参照してください。 パートナー IdP を使用しない場合は、GitHub Enterprise Cloud の SAML 構成リファレンスを使用して、IdP に汎用 SAML 2.0 アプリケーションを作成して構成できます。

  3. Enterprise をテストして構成するには、自分または GitHub.com で Enterprise の SAML SSO を構成するユーザーを、IdP で Enterprise Managed Users 用に構成したアプリケーションに割り当てます。

    Note

    構成時に成功した認証接続をテストするには、少なくとも 1 人のユーザーを IdP に割り当てる必要があります。

  4. GitHub.com で Enterprise を引き続き構成するには、IdP にインストールしたアプリケーションから次の情報を見つけてメモします。

    その他の名前説明
    IdP のサインオン URLログイン URL、IdP URLIdP 上のアプリケーションの URL
    IdP 識別子 URL発行者SAML 認証用のサービス プロバイダーに対する IdP 識別子
    署名証明書 (Base64 エンコード)公開証明書IdP が認証要求に署名するために使用する公開証明書

Enterprise を構成する

IdP で Enterprise Managed Users の SAML SSO を構成した後、GitHub.com で Enterprise を構成できます。

SAML SSO の初期構成後、既存の SAML 構成の GitHub.com で更新できる設定は SAML 証明書のみです。 サインオン URL または発行元 URL を更新する必要がある場合は、まず SAML SSO を無効にしてから、新しい設定で SAML SSO を再構成する必要があります。 詳しくは、「Enterprise Manged User の認証とプロビジョニングを無効にする」を参照してください。

  1. ユーザー名 SHORT-CODE_admin を使用して、Enterprise のセットアップ ユーザーとして GitHub.com にサインインします。SHORT-CODE は、Enterprise の短いコードに置き換えます。

    : セットアップ ユーザーのパスワードをリセットする必要がある場合、GitHub Support ポータル から GitHub Support に問い合わせます。

  2. GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。

  3. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  4. ページの左側にある Enterprise アカウントのサイドバーで、 [設定] をクリックします。

  5. [設定] で、 [認証セキュリティ] をクリックします。

  6. [SAML シングル サインオン] で、 [Require SAML authentication](SAML 認証が必要) を選択します。

  7. [サインオン URL] に、IdP の構成時にメモした SSO 要求の IdP の HTTPS エンドポイントを入力します。

  8. [発行者] に、IdP の構成時にメモした SAML 発行者 URL を入力して、送信されたメッセージの信頼性を確認します。

  9. [公開証明書] で、IdP の構成時にメモした証明書を貼り付けて、SAML 応答を確認します。

  10. 公開証明書で、現在のシグネチャ メソッドとダイジェスト メソッドの右側にある をクリックします。

    SAML 設定の現在のシグネチャ メソッドとダイジェスト メソッドのスクリーンショット。 鉛筆アイコンがオレンジ色の枠線で強調表示されています。

  11. [シグネチャ メソッド][ダイジェスト メソッド] のドロップダウン メニューを選び、SAML 発行者が使っているハッシュ アルゴリズムをクリックします。

  12. Enterprise で SAML SSO を有効化する前に、 [Test SAML configuration](SAML 構成のテスト) をクリックして、入力した情報が正しいか確認します。 このテストではサービス プロバイダーによって開始される (SP によって開始される) 認証が使われ、SAML 設定を保存するにはこれに成功する必要があります。

  13. [保存] をクリックします。

    注: Enterprise に SAML SSO を要求すると、セットアップ ユーザーは Enterprise にアクセスできなくなりますが、GitHub にはサインインしたままになります。 IdP によってプロビジョニングされた マネージド ユーザー アカウント のみが Enterprise にアクセスできます。

  14. 将来的に ID プロバイダーが利用できなくなった場合でも エンタープライズ GitHub.com にアクセスできるように,[ダウンロード],[印刷],または [コピー] をクリックして回復コードを保存してください。 詳しくは、「エンタープライズ アカウントのシングル サインオンの回復コードをダウンロードする」を参照してください。

プロビジョニングを有効にする

SAML SSO を有効にした後、プロビジョニングを有効にします。 詳しくは、「Configuring SAML single sign-on for Enterprise Managed Users」を参照してください。

ゲスト コラボレーターの有効化

ゲストコラボレータのロールを使用して、Enterprise 内のベンダーや請負業者に限定的なアクセス権を付与できます。 Enterprise メンバーとは異なり、ゲスト コラボレーターは、メンバーである Organization 内の内部リポジトリにのみアクセスできます。

SAML 認証に Entra ID または Okta を使用する場合は、ゲスト コラボレーターを使用するように IdP アプリケーションを更新することが必要な場合があります。 詳しくは、「ゲスト コラボレーターの有効化」を参照してください。