your GitHub Enterprise Server instanceの SAML SSO について
SAML SSO を使用すると、ユーザーは ID 管理のために外部システ� を介して your GitHub Enterprise Server instance に認証およびアクセスすることができます。
SAML は、認証と認可のための XML ベースの標準です。 your GitHub Enterprise Server instance の SAML を構成する� �合、認証用の外部システ� は ID プロバイダー (IdP) と呼ばれます。 インスタンスは SAML サービス プロバイダー (SP) として機能します。 SAML 標準の詳細については、Wikipedia の「Security Assertion Markup Language」を参照してく� さい。
アプリケーションを割り当てあるいは割り当て解除したときに、IdP はGitHub Enterprise Server と自動的に通信はしません。 誰かが初めて GitHub Enterprise Server に移動し、あなたの IdP を使って認証してサインインしたときに、GitHub Enterprise Server により、SAML Just-in-Time (JIT) プロビジョニングを使ってユーザー アカウントが作成されます。 GitHub Enterprise Server へのアクセスを付与するとき、� �合によっては、手動でユーザーに通知する必要があります。
SAML あるいは CAS を使う� �合、GitHub Enterprise Server インスタンスで 2 要� 認証はサポートあるいは管理されませんが、外部の認証プロバイダがサポートしている可能性があります。 Organizationでの2要� 認証の強制はできません。 組織で 2 要� 認証を適用する方法については、「組織で 2 要� 認証を要求する」を参照してく� さい。
外部認証プロバイダーのアカウントを持たない一部のユーザーに対して認証を許可する� �合は、 でローカル アカウントへのフォールバック認証を許可できます。 詳しくは、「プロバイダー外のユーザーのためのビルトイン認証の許可」を参照してく� さい。
GitHub Enterprise Server で SAML SSO を構成する方法に関する詳細については、「Enterprise 向けの SAML シングルサインオンを設定する」を参照してく� さい。
サポートされている IdP
GitHub Enterprise Server は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳細については、OASIS の Web サイトの SAML Wiki を参照してく� さい。
GitHub は、次の IdP を正式にサポートし、内部的にテストします。
- Active Directory フェデレーション サービス (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
GitHub Enterprise ServerはSAMLシングルログアウトをサポートしていません。 アクティブなSAMLセッションを終了させるには、ユーザーは直接SAML IdPでログアウトしなければなりません。
参考資料
- OASIS Web サイトの SAML Wiki