Entra ID を使用した認証とユーザー プロビジョニングについて
Entra ID は、ユーザアカウントと Web アプリケーションへのアクセスを一元管理できる Microsoft のサービスです。 詳細については、Microsoft Docs の「Microsoft Entra ID とは」を参照してください。
GitHub Enterprise Server で IAM に IdP を使う場合、リポジトリ、issue、pull request などの Enterprise リソースへのアクセスは、SAML SSO によって制御やセキュリティ保護が行われます。 IdP に変更を加えると、ユーザー アカウントの作成と お使いの GitHub Enterprise Server インスタンス へのアクセスの管理は SCIM によって自動的に行われます。 また、GitHub Enterprise Server 上の team を IdP 上のグループと同期することもできます。 詳細については、次の記事を参照してください。
- 「エンタープライズ IAM の SAML について」
- Enterprise 用の SCIM を使用したユーザーのプロビジョニングを構成する
- 「Team をアイデンティティプロバイダグループと同期する」
注: GitHub Enterprise Server の SCIM は現在プライベート ベータ版であり、変更される可能性があります。 ベータ版にアクセスするには、GitHub の営業チーム のアカウント マネージャーにお問い合わせください。 [GitHub Community ディスカッション] にフィードバックをお寄せください。
警告: ベータ版はテストとフィードバック専用であり、サポートは利用できません。 GitHub では、ステージング インスタンスを使用したテストをお勧めします。 詳しくは、「ステージングインスタンスのセットアップ」を参照してください。
Entra ID を使用して GitHub Enterprise Server に対して SAML SSO と SCIM を有効にした後、Entra ID テナントから以下を実行できます。
- Entra ID 上の GitHub Enterprise Server アプリケーションをユーザー アカウントに割り当て、GitHub Enterprise Server 上に対応するユーザー アカウントを自動的に作成して、アクセス権を付与します。
- Entra ID 上のユーザー アカウントへの GitHub Enterprise Server アプリケーションの割り当てを解除して、GitHub Enterprise Server の対応するユーザー アカウントを非アクティブ化します。
- GitHub Enterprise Server アプリケーションを Entra ID 上の IdP グループに割り当てて、IdP グループのすべてのメンバーに対して GitHub Enterprise Server 上でユーザー アカウントを自動的に作成して、アクセス権を付与します。 さらに、Team とその親 Organization に接続するために、GitHub Enterprise Server で IdP グループを利用できます。
- IdP グループから GitHub Enterprise Server アプリケーションの割り当てを解除すると、その IdP グループを介してのみアクセスしていたすべての IdP ユーザーの GitHub Enterprise Server ユーザー アカウントが非アクティブ化され、親 Organization からユーザーが削除されます。 IdP グループは GitHub Enterprise Server のどの Team からも切断されます
お使いの GitHub Enterprise Server インスタンス でのエンタープライズの ID およびアクセス管理について詳しくは、「Enterprise IAM での SAML の使用」をご覧ください。
前提条件
-
Entra ID を使用して GitHub Enterprise Server の認証とユーザー プロビジョニングを設定するには、Entra ID アカウントとテナントが必要です。 詳細については、Entra ID の Web サイト と Microsoft Docs の「クイックスタート: テナントを設定する」を参照してください。
-
お使いの GitHub Enterprise Server インスタンス 用に SAML SSO を構成する必要があります。 詳しくは、「Configuring SAML single sign-on for your enterprise」を参照してください。
-
IdP で専用のマシン ユーザー アカウントを作成して使用し、GitHub Enterprise Server の 1 つの Enterprise 所有者アカウントに関連付ける必要があります。 このユーザアカウントの認証情報は、パスワードマネージャに安全に保存してください。 詳しくは、「Enterprise 用の SCIM を使用したユーザーのプロビジョニングを構成する」を参照してください。
Entra ID を使用して認証とユーザー プロビジョニングを設定する
- お使いの GitHub Enterprise Server インスタンス 用に SAML SSO を構成します。 詳しくは、「Configuring SAML single sign-on for your enterprise」を参照してください。
- インスタンス用の SCIM を使用したユーザーのプロビジョニングを構成する 詳しくは、「Enterprise 用の SCIM を使用したユーザーのプロビジョニングを構成する」を参照してください。
エンタープライズ所有者の管理
エンタープライズ所有者にユーザーを指定する手順は、SAML だけを使用するか、SCIM も使用するかによって変わります。 Enterprise 所有者について詳しくは、「Enterprise におけるロール」を参照してください。
プロビジョニングを構成した場合、GitHub Enterprise Server でユーザーにエンタープライズ所有権を付与するには、Entra ID でユーザーにエンタープライズ オーナー ロールを割り当てます。
プロビジョニングを構成しなかった場合は、GitHub Enterprise Server でユーザーにエンタープライズ所有権を付与するには、IdP のユーザー アカウントに対して、SAML アサーションの administrator
属性を、true
の値を指定して含めます。 Entra ID からの SAML 要求に administrator
属性を含める方法の詳細については、Microsoft Docs のエンタープライズ アプリケーションの SAML トークンで発行された要求をカスタマイズする方法に関するページを参照してください。