Esta versão do GitHub Enterprise Server foi descontinuada em 2024-12-19. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Sobre SAML para IAM empresarial

Você pode usar o logon único (SSO) SAML para gerenciar centralmente o acesso ao sua instância do GitHub Enterprise Server.

Neste artigo

Sobre o SSO do SAML para sua empresa

O SSO do SAML permite que as pessoas efetuem a autenticação e acessem sua instância do GitHub Enterprise Server por meio de um sistema externo para gerenciamento de identidades.

O SAML é um padrão baseado em XML para autenticação e autorização. Ao configurar o SAML para sua instância do GitHub Enterprise Server, o sistema externo de autenticação é chamado de IdP (provedor de identidade). Sua instância atua como um provedor de serviço (SP) do SAML. Para obter mais informações sobre o padrão SAML, consulte Security Assertion Markup Language na Wikipédia.

Note

Você pode usar SAML ou LDAP, mas não ambos.

Ao usar SAML ou CAS, não há suporte nem gerenciamento para a autenticação de dois fatores na instância do GitHub Enterprise Server, mas há suporte para a autenticação de dois fatores pelo provedor de autenticação externo. A aplicação da autenticação de dois fatores em organizações não está disponível. Para obter mais informações sobre como aplicar autenticação de dois fatores em organizações, confira Exigindo a autenticação de dois fatores na sua organização.

Depois que você configurar o SAML, as pessoas que usam o sua instância do GitHub Enterprise Server precisarão usar um personal access token para autenticar as solicitações de API. Para saber mais, confira Gerenciar seus tokens de acesso pessoal.

Se você deseja permitir a autenticação para algumas pessoas que não têm uma conta no seu provedor de autenticação externo, permita a autenticação de fallback para contas locais no sua instância do GitHub Enterprise Server. Para saber mais, confira Como permitir a autenticação interna para usuários de fora do seu provedor.

Para saber mais sobre a configuração do SSO do SAML no GitHub, confira Configurar o logon único SAML para sua empresa.

Sobre a criação de contas de usuário

Por padrão, seu IdP não se comunica com o GitHub automaticamente quando você atribui o aplicativo ou cancela a atribuição dele. O GitHub cria uma conta de usuário usando o provisionamento JIT (just-in-time) do SAML na primeira vez que alguém acessa o sua instância do GitHub Enterprise Server e se conecta pela autenticação por meio do IdP. Talvez seja necessário notificar manualmente os usuários quando você permitir acesso ao GitHub, e será preciso desativar a conta de usuário no GitHub durante a remoção.

Como alternativa, em vez de realizar o provisionamento JIT baseado no SAML, você poderá usar o SCIM para criar ou suspender as contas de usuário e conceder ou negar o acesso ao sua instância do GitHub Enterprise Serverautomaticamente depois que você atribuir o aplicativo ou cancelar a atribuição dele no IdP. No momento, o SCIM para o GitHub Enterprise Server está em privada beta e sujeito a alterações. Para saber mais, confira Configurando o provisionamento de usuários com o SCIM no GitHub Enterprise Server.

Com o provisionamento JIT, se você remover um usuário do IdP, também deverá suspender manualmente a conta do usuário em sua instância do GitHub Enterprise Server. Caso contrário, o proprietário da conta poderá continuar fazendo autenticação usando tokens de acesso ou chaves SSH. Para saber mais, confira Suspender e cancelar a suspensão de usuários.

IdPs compatíveis

O GitHub dá suporte ao SSO do SAML, com IdPs que implementam o padrão SAML 2.0. Para obter mais informações, confira o wiki do SAML no site do OASIS.

Oficialmente, o GitHub dá suporte aos IdPs a seguir e testa-os internamente.

  • Serviços de Federação do Active Directory (AD FS) da Microsoft
  • Microsoft Entra ID (anteriormente conhecida como Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Se o seu IdP der suporte a declarações criptografadas, você poderá configurar declarações criptografadas no GitHub Enterprise Server para aumentar a segurança durante o processo de autenticação.

O GitHub não dá suporte ao logoff único do SAML. Para finalizar uma sessão do SAML ativa, os usuários devem efetuar o logout diretamente no seu IdP do SAML.

Leitura adicional