Sobre o SAML SSO
O SAML SSO permite que você controle centralmente e proteja o acesso ao your GitHub Enterprise Server instance a partir do seu IdP SAML. Quando um usuário não autenticado visita your GitHub Enterprise Server instance em um navegador, GitHub Enterprise Server redirecionará o usuário para seu IdP do SAML para efetuar a autenticação. Depois que o usuário efetua a autenticação com sucesso com uma conta no IdP, o usuário do IdP redireciona o usuário de volta para your GitHub Enterprise Server instance. GitHub Enterprise Server valida a resposta do seu IdP e, em seguida, concede acesso ao usuário.
Depois que um usuário efetua a autenticação com sucesso no seu IdP, a sessão do SAML do usuário para your GitHub Enterprise Server instance fica ativa no navegador por 24 horas. Depois de 24 horas, o usuário deve efetuar a autenticação novamente com o seu IdP.
If you remove a user from your IdP, you must also manually suspend them. Otherwise, the account's owner can continue to authenticate using access tokens or SSH keys. Para obter mais informações, consulte "Suspender e cancelar a suspensão de usuários".
Provedores de identidade compatíveis
GitHub Enterprise Server é compatível com o SAML SSO, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, consulte a Wiki do SAML no site do OASIS.
GitHub officially supports and internally tests the following IdPs.
- Active Directory Federation Services (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Configurando o SAML SSO
Você pode habilitar ou desabilitar a autenticação do SAML para your GitHub Enterprise Server instance ou você pode editar uma configuração existente. Você pode ver e editar as configurações de autenticação para GitHub Enterprise Server no console de gerenciamento. Para obter mais informações, consulte "Acessando o console de gerenciamento".
Observação: GitHub strongly recommends that you verify any new configuration for authentication in a staging environment. An incorrect configuration could result in downtime for your GitHub Enterprise Server instance. Para obter mais informações, consulte "Configurar instância de preparo".
-
From an administrative account on GitHub Enterprise Server, in the upper-right corner of any page, click .
-
If you're not already on the "Site admin" page, in the upper-left corner, click Site admin.
-
Na barra lateral esquerda, clique em Console de gerenciamento.
-
Na barra lateral esquerda, clique em Authentication.
-
Selecione SAML.
-
Optionally, to allow people without an account on your external authentication system to sign in with built-in authentication, select Allow built-in authentication. Para obter mais informações, consulte "Permitir a autenticação integrada para usuários de fora do seu provedor".
-
Para habilitar SSO de resposta não solicitada, selecione IdP initiated SSO (SSO iniciado pelo IdP). Por padrão, o GitHub Enterprise Server responderá a uma solicitação iniciada pelo Provedor de identidade (IdP) não solicitado com
AuthnRequest
.Observação: recomendamos manter este valor não selecionado. Você deve habilitar esse recurso somente na rara instância em que sua implementação SAML não oferecer suporte ao SSO iniciado pelo provedor de serviços e quando recomendado pelo Suporte do GitHub Enterprise.
-
Selecione Disable administrator demotion/promotion (Desabilitar rebaixamento/promoção do administrador) se você não quiser que o provedor SAML determine direitos de administrador para usuários no your GitHub Enterprise Server instance.
-
No campo URL de logon único, digite o ponto de extremidade de HTTP ou HTTPS no seu IdP para solicitações de logon único. Esse valor é fornecido pela configuração do IdP. Se o host estiver disponível apenas na sua rede interna, você pode precisar que configure your GitHub Enterprise Server instance para usar servidores de nomes internos.
-
Como alternativa, no campo emissor, digite o nome do emissor do SAML. Fazer isso verifica a autenticidade das mensagens enviadas para your GitHub Enterprise Server instance.
-
Nos menus suspensos Método de assinatura e Método de compilação, escolha o algoritmo de hash usado pelo emissor SAML para verificar a integridade das solicitações do your GitHub Enterprise Server instance. Especifique o formato com menu suspenso Formato do Identificador do Nome.
-
Em Verification certificate (Certificado de verificação), clique em Choose File (Escolher arquivo) e escolha um certificado para validar as respostas SAML do IdP.
-
Modifique os nomes do atributo SAML para corresponder ao IdP, se necessário, ou aceite os nomes padrão.