Skip to main content

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2023-01-18. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise にアップグレードします。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせく� さい

Enterprise 向けの SAML シングルサインオンを設定する

ID プロバイダー (IdP) を介した SAML シングル サインオン (SSO) を構成して、your GitHub Enterprise Server instance へのアクセスを制御し、セキュリティで保護できます。

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

SAML SSO について

SAML SSO を使用すると、SAML IdP から your GitHub Enterprise Server instance へのアクセスを一元的に制御し、セキュリティで保護できます。 認証されていないユーザーがブラウザで your GitHub Enterprise Server instance にアクセスすると、GitHub Enterprise Server は認証するためにユーザーを SAML IdP にリダイレクトします。 ユーザーが IdP のアカウントで正常に認証されると、IdP はもう一度ユーザーを your GitHub Enterprise Server instance にリダイレクトします。 GitHub Enterprise Server は、IdP からのレスポンスを検証してから、ユーザにアクセスを許可します。

ユーザーが IdP で正常に認証されると、your GitHub Enterprise Server instance に対するユーザーの SAML セッションはブラウザーで 24 時間アクティブになります。 24 時間後、ユーザは IdP で再度認証を行う必要があります。

JIT プロビジョニングでは、IdP からユーザーを削除する� �合、your GitHub Enterprise Server instance でユーザーのアカウントを手動で中断する必要があります。 そうしないと、アカウントの所有者はアクセス トークンまたは SSH キーを使って引き続き認証を行うことができます。 詳細については、ユーザーの一時停止と一時停止解除に関するページを参照してく� さい。

サポートされているアイデンティティプロバイダ

GitHub Enterprise Server は、SAML2.0 標準を実装し IdP を使用した SAML SSO をサポートします。 詳細については、OASIS の Web サイトの SAML Wiki を参照してく� さい。

GitHub は、次の IdP を正式にサポートし、内部的にテストします。

  • Active Directory フェデレーション サービス (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

SAML SSO の設定

your GitHub Enterprise Server instance の SAML 認証を有効または無効にすることも、既存の構成を編集することもできます。 GitHub Enterprise Server の認証設定は、管理コンソールで表示および編集できます。 詳細については、「Accessing the management console」 (管理コンソールへのアクセス) を参照してく� さい。

: GitHub は、ステージング環境では認証のために新しい構成を確認することを強くお勧めします。 構成が正しくないと、 のダウンタイ� につながる可能性があります。 詳細については、「ステージング インスタンスのセットアップ」を参照してく� さい。

  1. GitHub Enterprise Server の管理アカウントから、任意のページの右上隅の をクリックします。

    サイト管理者設定にアクセスするための宇宙船アイコンのスクリーンショット

  2. [サイト管理者] ページにま� 表示されていない� �合は、左上隅の [サイト管理者] をクリックします。

    [サイト管理者] リンクのスクリーンショット 1. 左側のサイドバーで、 [Management Console] をクリックします。 左側のサイドバーの [[Management Console]] タブ 1. 左サイドバーにある [Authentication](認証) をクリックします。 設定サイドバーの [Authentication](認証) タブ

  3. [SAML] を選択します。

    管理コンソールで SAML 認証を有効にするオプションのスクリーンショット

  4. 必要に応じて、外部認証システ� のアカウントを持たないユーザーがビルトイン認証でサインインできるようにするには、 [Allow built-in authentication](ビルトイン認証を許可する) を選択します。 詳しくは、「プロバイダー外のユーザーのためのビルトイン認証の許可」を参照してく� さい。

    SAML IdP の外部で組み込み認証を有効にするオプションのスクリーンショット

  5. 必要に応じて、未承諾応答 SSO を有効にするには、 [IdP Initiated SSO] を選択します。 既定では、GitHub Enterprise Server は、未承諾の ID プロバイダー (IdP) によって開始された要求に対して、IdP への AuthnRequest で応答します。

    IdP によって開始された未承諾応答を有効にするオプションのスクリーンショット

    : この値は 未選択 の状態にしておくことをお勧めします。 この機能を有効にするのは、SAML の実装がサービス プロバイダーによって開始される SSO をサポートしないまれな� �合と、GitHub Enterprise サポート によって推奨された� �合 のみ です。

  6. SAML プロバイダーが your GitHub Enterprise Server instance のユーザーの管理者権限を決定 しない � �合は、 [Disable administrator demotion/promotion] を選択します。

    IdP の "administrator" 属性を尊重して管理者権限を有効または無効にするオプションを有効にするオプションのスクリーンショット

  7. [シングル サインオン URL] フィールドに、シングル サインオンの要求のための IdP の HTTP または HTTPS エンドポイントを入力します。 この値はIdpの設定によって決まります。 ホストが内部ネットワークからのみ使用できる� �合は、内部ネー� サーバーを使用するように your GitHub Enterprise Server instance を構成する必要がある� �合があります。

    シングル サインオン URL のテキスト フィールドのスクリーンショット

  8. または、 [発行者] フィールドに SAML 発行者の名前を入力します。 これにより、your GitHub Enterprise Server instance に送信されたメッセージの信� �性が検証されます。

    SAML 発行者 URL のテキスト フィールドのスクリーンショット

  9. [署名方法] および [ダイジェスト方法] ドロップダウン メニューで、SAML 発行者が your GitHub Enterprise Server instance からの要求の整合性を検証するために使用するハッシュ アルゴリズ� を選択します。 [名前識別子形式] ドロップダウン メニューで形式を指定します。

    署名とダイジェスト方法を選択するドロップダウン メニューのスクリーンショット

  10. [検証証明書][ファイルの選択] をクリックし、IdP からの SAML 応答を検証する証明書を選択します。

    IdP から検証証明書をアップロードするためのボタンのスクリーンショット

  11. 必要に応じてSAMLの属性名はIdPに合わせて修正してく� さい。あるいはデフォルト名をそのまま受け付けてく� さい。

    追� の SAML 属性を入力するためのフィールドのスクリーンショット

参考資料