SAML SSO について
SAML SSO を使用すると、SAML IdP から GitHub Enterprise Serverインスタンス へのアクセスを一元的に制御しアクセスをセキュアにできます。 認証されていないユーザがブラウザで GitHub Enterprise Serverインスタンス にアクセスすると、GitHub Enterprise Server はユーザを認証するために SAML IdP にリダイレクトします。 ユーザが IdP のアカウントで正常に認証されると、IdP はユーザを GitHub Enterprise Serverインスタンス にリダイレクトします。 GitHub Enterprise Server は、IdP からのレスポンスを検証してから、ユーザにアクセスを許可します。
ユーザーが IdP で正常に認証されると、GitHub Enterprise Serverインスタンス に対するユーザの SAML セッションはブラウザで 24 時間アクティブになります。 24 時間後、ユーザは IdP で再度認証を行う必要があります。
If you remove a user from your IdP, you must also manually suspend them. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. 詳しい情� �についてはユーザのサスペンドとサスペンドの解除を参照してく� さい。
サポートされているアイデンティティプロバイダ
GitHub Enterprise Server は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳しい情� �については、OASIS Web サイトの SAML Wiki を参照してく� さい。
GitHub officially supports and internally tests the following IdPs.
- Active Directory フェデレーションサービス (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
SAML SSO の設定
You can enable or disable SAML authentication for GitHub Enterprise Serverインスタンス, or you can edit an existing configuration. You can view and edit authentication settings for GitHub Enterprise Server in the management console. For more information, see "Accessing the management console."
注釈: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for GitHub Enterprise Serverインスタンス. 詳しい情� �については "ステージングインスタンスのセットアップ"を参照してく� さい。
-
From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .
-
If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.
-
左のサイドバーでManagement Consoleをクリックしてく� さい。
-
左のサイドバーでAuthentication(認証)をクリックしてく� さい。
-
SAMLを選択してく� さい。
-
Optionally, to allow people without an account on your external authentication system to sign in with built-in authentication, select Allow built-in authentication. For more information, see "Allowing built-in authentication for users outside your provider."
-
オプションで、未承諾応答SSOを有効化する� �合は [IdP initiated SSO] を選択します。 デフォルトでは、GitHub Enterprise Serverは未承認アイデンティティプロバイダ (IdP) 起点のリクエストに対して、IdPへの
AuthnRequest返信で応答します。
ノート:この値は選択しないでおくことをおすすめします。 この機能を有効にするのは、SAMLの実装がサービスプロバイダ起点のSSOをサポートしないまれな� �合と、GitHub Enterprise Supportによって推奨された� �合� けにすべきです。
-
GitHub Enterprise Serverインスタンス 上のユーザの管理者権限を SAML プロバイダに決めさせたくない� �合、[Disable administrator demotion/promotion] を選択します。
-
Single sign-on URL(シングルサインオンURL)フィールドに、使用するIdpのシングルサインオンのリクエストのためのHTTPあるいはHTTPSエンドポイントを入力してく� さい。 この値はIdpの設定によって決まります。 ホストが内部のネットワークからしか利用できない� �合、GitHub Enterprise Serverインスタンスを内部ネー� サーバーを利用するように設定する必要があるかもしれません。
-
または、[Issuer] フィールドに、SAML の発行者の名前を入力します。 これは、GitHub Enterprise Serverインスタンス へ送信されるメッセージの真正性を検証します。
-
[Signature Method] および [Digest Method] ドロップダウンメニューで、SAML の発行者が GitHub Enterprise Serverインスタンス からのリクエストの整合性の検証に使うハッシュアルゴリズ� を選択します。 Name Identifier Format(Name Identifier形式)ドロップダウンメニューから形式を指定してく� さい。
-
[Verification certificate] の下で、[Choose File] をクリックし、IdP からの SAML のレスポンスを検証するための証明書を選択してく� さい。
-
必要に応じてSAMLの属性名はIdPに合わせて修正してく� さい。あるいはデフォルト名をそのまま受け付けてく� さい。
