Настройка единого входа SAML для управляемых пользователей GitHub Enterprise

Можно автоматически управлять доступом к корпоративной учетной записи на GitHub, настроив единый вход на основе языка разметки заявлений системы безопасности (SAML).

Кто может использовать эту функцию?

Enterprise Managed Users доступен для новых корпоративных учетных записей на GitHub Enterprise Cloud. См . раздел AUTOTITLE.

В этой статье

Прежде чем выполнить действия, описанные в этой статье, убедитесь, что ваше предприятие использует управляемых пользователей. Это можно сделать, проверив, имеет ли ваше корпоративное представление строку заголовка "Пользователи, управляемые именем учетной записи", в верхней части экрана. Если вы видите это, ваше предприятие использует управляемых пользователей , и вы можете выполнить действия, описанные в этой статье.

Если ваше предприятие использует личная учетная запись, необходимо выполнить другой процесс, чтобы настроить единый вход SAML. См . раздел AUTOTITLE.

О едином входе SAML для Enterprise Managed Users

При использовании Enterprise Managed Usersдоступ к ресурсам вашей организации на GitHub.com или GHE.com необходимо пройти проверку подлинности через поставщика удостоверений (IdP). Вместо входа с помощью GitHub имени пользователя и пароля пользователи вашей организации будут входить с помощью поставщика удостоверений.

После настройки единого входа SAML рекомендуется хранить код восстановления, чтобы вы могли восстановить доступ к вашей организации в случае недоступности поставщика удостоверений.

Необходимые компоненты

  • Изучите требования к интеграции и уровень поддержки поставщика удостоверений.

    • GitHub предоставляет интеграцию "проложенный путь" и полную поддержку, если вы используете поставщика удостоверений для проверки подлинности и подготовки.
    • Кроме того, можно использовать любую систему или комбинацию систем, соответствующих SAML 2.0 и SCIM 2.0. Однако поддержка устранения проблем с этими системами может быть ограничена.

    Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.

  • Поставщик удостоверений должен соответствовать спецификации SAML 2.0. См. вики-сайт SAML на веб-сайте OASIS.

  • У вас должен быть административный доступ клиента к идентификатору поставщика удостоверений.

  • Если вы настраиваете единый вход SAML для нового предприятия, обязательно выполните все предыдущие действия в начальном процессе настройки. См . раздел AUTOTITLE.

Настройка единого входа SAML для Enterprise Managed Users

Чтобы настроить единый вход SAML для корпоративный с управляемыми пользователями, необходимо настроить приложение на поставщике удостоверений, а затем настроить ваше предприятие на GitHub. После настройки единого входа SAML можно настроить подготовку пользователей.

  1. Настройка поставщика удостоверений
  2. Настройка предприятия
  3. Включение подготовки

Настройка поставщика удостоверений

  1. При использовании поставщика удостоверений партнера для установки приложения GitHub Enterprise Managed User щелкните ссылку для поставщика удостоверений и среды.

    Поставщик удостоверенийПриложение для GitHub.comПриложение для GHE.com
    Microsoft Entra IDGitHub Enterprise Managed UserGitHub Enterprise Managed User
    OktaGitHub Enterprise Managed UserGitHub Enterprise Managed User — ghe.com
    PingFederateВеб-сайт загрузки PingFederate (перейдите на вкладку "Надстройки ", а затем выберите GitHub Соединитель EMU 1.0)Веб-сайт загрузки PingFederate (перейдите на вкладку "Надстройки ", а затем выберите GitHub Соединитель EMU 1.0)

  2. Чтобы настроить единый вход SAML для Enterprise Managed Users в поставщике удостоверений партнера, ознакомьтесь с соответствующей документацией по поставщику удостоверений и среде.

    Поставщик удостоверенийДокументация по GitHub.comДокументация по GHE.com
    Microsoft Entra IDMicrosoft LearnMicrosoft Learn
    OktaНастройка единого входа SAML в Okta for Enterprise Managed UsersНастройка единого входа SAML в Okta for Enterprise Managed Users
    PingFederateНастройка проверки подлинности и подготовки с помощью PingFederate ("Предварительные требования" и "1". Настройка разделов SAML)Настройка проверки подлинности и подготовки с помощью PingFederate ("Предварительные требования" и "1". Настройка разделов SAML)

    Кроме того, если вы не используете поставщик удостоверений партнера, можно использовать ссылку на конфигурацию SAML для GitHub для создания и настройки универсального приложения SAML 2.0 в поставщике удостоверений. См . раздел AUTOTITLE.

  3. Чтобы протестировать и настроить ваше предприятие, назначьте себе или пользователю, который настроит единый вход SAML для вашего предприятия на GitHub в приложении, настроенном для Enterprise Managed Users в поставщике удостоверений.

    Note

    Чтобы проверить успешное подключение к проверке подлинности при настройке, необходимо назначить по крайней мере одному пользователю идентификатору поставщика удостоверений.

  4. Чтобы продолжить настройку предприятия на GitHub, найдите и запишите следующие сведения из приложения, установленного на вашем idP.

    ЗначениеДругие названияDescription
    URL-адрес для входа IdPURL-адрес для входа, URL-адрес для IdPURL-адрес приложения в IdP
    URL-адрес идентификатора IdPИздательИдентификатор IdP для поставщиков услуг для проверки подлинности SAML
    Сертификат для подписи, закодированный с помощью Base64Общедоступный сертификатОбщедоступный сертификат, который IdP использует для подписания запросов на проверку подлинности

Настройка предприятия

После настройки единого входа SAML для Enterprise Managed Users в поставщике удостоверений можно настроить ваше предприятие на GitHub.

После начальной настройки единого входа SAML единственный параметр можно обновить на GitHub для существующей конфигурации SAML— сертификат SAML, который может выполнять любой участник с ролью владельца предприятия. Если необходимо обновить URL-адрес входа или URL-адрес издателя, необходимо сначала отключить единый вход SAML, а затем перенастроить единый вход SAML с новыми параметрами. Дополнительные сведения см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.

  1. Войдите в качестве пользователя установки для вашей организации с помощью имени пользователя SHORT-CODE_admin, заменив SHORT-CODE коротким кодом вашего предприятия.

    Note

    Если вам нужно сбросить пароль для пользователя установки, обратитесь к Служба поддержки GitHub через Портал поддержки GitHub. Обычный параметр сброса пароля, указав ваш адрес электронной почты, не будет работать.

  2. Если вы используете поставщик удостоверений , отличных от Okta, PingFederate или Entra ID, перед включением SAML необходимо обновить параметр, чтобы настроить SCIM с помощью REST API. См . раздел AUTOTITLE.

  3. В правом верхнем углу GitHubщелкните фото профиля, а затем щелкните "Ваше предприятие".

  4. В левой части страницы на боковой панели учетной записи предприятия щелкните поставщик удостоверений.

  5. В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.

  6. В разделе "Единый вход SAML" выберите "Добавить конфигурацию SAML".

  7. В разделе URL-адрес входа введите конечную точку HTTPS поставщика удостоверений для запросов единого входа, которые вы указали при настройке поставщика удостоверений.

  8. В разделе Издатель введите URL-адрес издателя SAML, который вы записали при настройке своего IdP, чтобы проверить подлинность отправленных сообщений.

  9. В разделе Общедоступный сертификат вставьте сертификат, который вы записали при настройке своего IdP, чтобы проверить ответы SAML.

  10. В разделе "Общедоступный сертификат" выберите раскрывающиеся меню "Метод подписи" и "Дайджест-метод" и выберите алгоритм хэширования, используемый издателем SAML.

  11. Перед включением единого входа SAML для вашего предприятия нажмите Проверить конфигурацию SAML, чтобы убедиться, что введенные сведения верны. В этом тесте используется проверка подлинности, инициированной поставщиком услуг (SP), и она должна быть успешной, прежде чем сохранить параметры SAML.

  12. Нажмите кнопку Save SAML settings (Сохранить параметры SAML).

    Note

    После необходимости единого входа SAML для предприятия и сохранения параметров SAML пользователь установки будет продолжать иметь доступ к организации и останется вошедшим в GitHub вместе с управляемые учетные записи пользователей, подготовленным поставщиком удостоверений, которые также будут иметь доступ к организации.

  13. Чтобы обеспечить доступ к вашей организации по-прежнему на GitHub, если ваш идентификатор недоступен в будущем, нажмите кнопку "Скачать ", " Печать" или "Копировать", чтобы сохранить код восстановления. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

Включение подготовки

После включения единого входа SAML включите подготовку. Дополнительные сведения см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.

Включение гостевых участников совместной работы

Вы можете использовать роль гостевого сотрудника для предоставления ограниченного доступа поставщикам и подрядчикам в вашей организации. В отличие от участников предприятия, гостевые сотрудники имеют доступ только к внутренним репозиториям в организациях, где они являются членами.

Если вы используете идентификатор записи или Okta для проверки подлинности SAML, может потребоваться обновить приложение IdP для использования гостевых участников совместной работы. Дополнительные сведения см. в разделе Включение гостевых участников совместной работы.