Configurar o logon único SAML para sua empresa

You can control and secure access to resources like repositories, issues, and pull requests within your enterprise's organizations by enforcing SAML single sign-on (SSO) through your identity provider (IdP).

Quem pode usar esse recurso?

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Neste artigo

Antes de seguir as etapas deste artigo, verifique se sua empresa usa contas pessoais. Você pode fazer isso verificando se sua visualização corporativa tem a barra de cabeçalho "Usuários gerenciados por NOME DA CONTA", na parte superior da tela.

Se você vir isso, sua empresa usa usuários gerenciados e você deve seguir um processo diferente para configurar o logon único SAML. Confira "Configurar o logon único SAML para usuários gerenciados pela empresa".

Sobre o SAML SSO

O SSO (logon único) do SAML proporciona aos proprietários da organização e da empresa que usam o GitHub Enterprise Cloud uma forma de controlar e proteger o acesso aos recursos da organização, como repositórios, problemas e solicitações de pull.

Se você configurar o SSO do SAML, os membros de sua organização continuarão fazendo logon nas respectivas contas pessoais do GitHub.com. Quando um membro acessa a maioria dos recursos na sua organização, o GitHub o redireciona para seu IdP a fim de realizar a autenticação. Após a autenticação bem-sucedida, seu IdP redireciona o membro novamente para o GitHub. Para obter mais informações, confira "Sobre a autenticação com logon único de SAML".

Nota: o SSO do SAML não substitui o processo de entrada normal do GitHub. A menos que você use Enterprise Managed Users, os membros continuarão a entrar em suas contas pessoais no GitHub.com e cada conta será vinculada a uma identidade externa em seu IdP.

Para obter mais informações, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML".

Os proprietários empresariais podem ativar o SAML SSO e autenticação centralizada através de um IdP de SAML em todas as organizações que pertencem a uma conta corporativa. Depois que você habilitar o SSO do SAML para a sua conta empresarial, o SSO do SAML será imposto em todas as organizações pertencentes à sua conta corporativa. Todos os integrantes deverão autenticar usando o SAML SSO para obter acesso às organizações de que fazem parte, e os proprietários corporativos precisarão autenticar usando o SAML SSO ao acessar uma conta corporativa.

Para obter acesso aos recursos de cada organização no GitHub Enterprise Cloud, o membro deve ter uma sessão SAML ativa em seu Browser. Para obter acesso aos recursos protegidos de cada organização ao usar a API e o Git, o membro deve usar um personal access token ou uma chave SSH que tenha autorização para uso com a organização.. Os proprietários da empresa podem realizar a exibição e revogar a identidade vinculada, as sessões ativas ou as credenciais autorizadas de um membro a qualquer momento. Para saber mais, confira "Visualizar e gerenciar o acesso SAML de um usuário à sua empresa".

Observação: você não pode configurar o SCIM para sua conta corporativa, a menos que sua conta tenha sido criada para o Enterprise Managed Users. Para obter mais informações, confira "Sobre os Enterprise Managed Users".

Se você não usar Enterprise Managed Users e quiser usar o provisionamento SCIM, deverá configurar o SSO do SAML no nível da organização, não no nível da empresa. Para obter mais informações, confira "Sobre o gerenciamento de identidades e de acesso com o logon único do SAML".

Quando o SSO do SAML está desabilitado, todas a identidades externas vinculadas são removidas de GitHub Enterprise Cloud.

Depois de habilitar o SSO do SAML, as autorizações de OAuth app e GitHub App poderão precisar ser revogadas e reautorizadas para acessar a organização. Para obter mais informações, confira "Autorizar aplicativos OAuth".

Provedores de identidade compatíveis

GitHub Enterprise Cloud é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS) da Microsoft
  • Microsoft Entra ID (anteriormente conhecida como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Para obter mais informações sobre como conectar o Microsoft Entra ID (o antigo Azure AD) à sua empresa, confira Tutorial: integração de SSO do Microsoft Entra com GitHub Enterprise Cloud – conta empresarial no Microsoft Docs.

Aplicar o logon único SAML para organizações na sua conta corporativa

Ao aplicar o logon único SAML SSO para sua empresa, a configuração corporativa substituirá todas as configurações do SAML existentes no nível da organização. Há considerações especiais ao habilitar o SSO do SAML para sua conta corporativa se uma das organizações pertencentes à conta corporativa já está configurada para usar o SSO do SAML. Para saber mais, confira "Alterando a configuração do SAML de uma organização para uma conta corporativa".

Ao aplicar o SAML SSO para uma organização, GitHub removerá todos os integrantes da organização que não tenham efetuado a autenticação com sucesso com seu IdP do SAML. Ao exigir o SAML SSO para a sua empresa, GitHub não irá remover os integrantes da empresa que não tenham efetuado a autenticação com sucesso com o IdP do SAML. Na próxima vez que um integrante acessar os recursos da empresa, ele deverá efetuar a autenticação com o seu IdP do SAML.

Para obter informações mais detalhadas sobre como habilitar ovar o SAML usando o Okta, confira "Configurar o logon único SAML para a sua empresa usando o Okta".

  1. No canto superior direito do GitHub, clique na sua foto de perfil e em Suas empresas.

  2. Na lista de empresas, clique na empresa que você deseja visualizar.

  3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Opcionalmente, para ver a configuração atual de todas as organizações na conta corporativa antes de alterar a configuração, clique em Exibir as configurações atuais das suas organizações.

    Captura de tela de uma política nas configurações da empresa. Um link, rotulado como "Exibir as configurações atuais das suas organizações", está realçado com uma estrutura de tópicos laranja.

  6. Em "Logon único do SAML", selecione Exigir autenticação SAML.

  7. No campo URL de Logon, digite o ponto de extremidade HTTPS do IdP para solicitações de logon único. Esse valor está disponível na configuração do IdP.

  8. Opcionalmente, no campo Emissor, digite a URL do emissor do SAML para verificar a autenticidade das mensagens enviadas.

  9. Em Certificado Público, cole um certificado para verificar as respostas do SAML. Essa é a chave pública correspondente à chave privada usada para assinar respostas SAML.

    Para localizar o certificado, consulte a documentação do seu IdP. Alguns IdPs chamam isso de certificado X.509.

  10. Em seu certificado público, à direita dos métodos atuais de assinatura e resumo, clique em .

    Captura de tela do método de assinatura atual e do método de resumo nas configurações do SAML. O ícone de lápis é realçado com um contorno laranja.

  11. Selecione os menus suspensos Método de Assinatura e Método de Resumo, em seguida, clique no algoritmo de hash usado pelo seu emissor do SAML.

  12. Antes de habilitar o SSO do SAML para sua empresa, a fim de garantir que as informações inseridas estejam corretas, clique em Testar configuração do SAML. Esse teste usa a autenticação iniciada pelo provedor de serviços (iniciada pelo SP) e deve ser bem-sucedida antes que você possa salvar as configurações de SAML.

  13. Clique em Salvar.

  14. Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

Leitura adicional