Эта версия GitHub Enterprise Server была прекращена 2024-12-19. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Настройка единого входа SAML для предприятия

Вы можете контролировать и защитить доступ к ресурсам ваш экземпляр GitHub Enterprise Server по configuringSAML single sign-on (SSO) через поставщик удостоверений (IdP).

Кто может использовать эту функцию?

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

В этой статье

Сведения о едином входе SAML

Единый вход SAML позволяет централизованно контролировать и защищать доступ к ваш экземпляр GitHub Enterprise Server из поставщика удостоверений SAML. Когда пользователь, не прошедший проверку подлинности, посещает ваш экземпляр GitHub Enterprise Server в браузере, GitHub перенаправит пользователя на идентификатор SAML для проверки подлинности. После успешной проверки подлинности пользователя с учетной записью поставщика удостоверений идентификатор перенаправляет пользователя обратно в ваш экземпляр GitHub Enterprise Server. GitHub проверяет ответ от поставщика удостоверений, а затем предоставляет пользователю доступ.

После успешной проверки подлинности пользователя в поставщике удостоверений сеанс SAML пользователя для ваш экземпляр GitHub Enterprise Server активен в браузере в течение 24 часов. Через 24 часа пользователь должен будет снова пройти проверку подлинности у поставщика удостоверений.

При подготовке JIT при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя на ваш экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе Приостановка и возобновление работы пользователей.

Поддерживаемые поставщики удостоверений

GitHub поддерживает единый вход SAML с поставщиками удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub обеспечивает официальную поддержку и внутреннее тестирование для указанных ниже поставщиков удостоверений.

  • Microsoft службы федерации Active Directory (AD FS) (AD FS)
  • Идентификатор Microsoft Entra (ранее известный как Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Дополнительные сведения о подключении идентификатора Entra к вашей организации см. в руководстве по интеграции единого входа Microsoft Entra с GitHub Enterprise Server в Документация Майкрософт.

Рекомендации по использованию имен пользователей в SAML

GitHub нормализует значение от external authentication provider для определения имени пользователя для каждого нового личная учетная запись на ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.

Настройка единого входа SAML

Вы можете включить или отключить проверку подлинности SAML для ваш экземпляр GitHub Enterprise Serverили изменить существующую конфигурацию. Параметры проверки подлинности можно просматривать и изменять в Консоль управления. Дополнительные сведения см. в разделе Администратор создание экземпляра из пользовательского веб-интерфейса.

Note

GitHub настоятельно рекомендует проверять все новые конфигурации проверки подлинности в промежуточной среде. Неправильная конфигурация может привести к простою для ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Настройка промежуточного экземпляра.

  1. В учетной записи администратора GitHub Enterprise Server, в правом верхнем углу любой страницы щелкните .

  2. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.

  3. На боковой панели " "Администратор сайта" щелкните Консоль управления.

  4. На боковой панели "Параметры" щелкните "Проверка подлинности".

  5. В разделе "Проверка подлинности" выберите SAML.

  6. При необходимости для того, чтобы разрешить пользователям без учетной записи во внешней системе проверки подлинности вход с помощью встроенной проверки подлинности, выберите Разрешить встроенную проверку подлинности. Дополнительные сведения см. в разделе Разрешение встроенной проверки подлинности для пользователей за пределами поставщика.

  7. При необходимости, чтобы включить единый вход без запроса, выберите Единый вход, инициированный поставщиком удостоверений. По умолчанию GitHub Enterprise Server отвечает на назапрашиваемый запрос поставщика удостоверений (IdP) с сообщением AuthnRequest обратно поставщику удостоверений.

    Tip

    Рекомендуется сохранить это значение без выбора. Эту функцию следует включать только в редких случаях, когда реализация SAML не поддерживает единый вход, инициированный поставщиком услуг, и когда это рекомендует Поддержка GitHub Enterprise.

  8. При необходимости, если вы не хотите, чтобы поставщик SAML мог определить права администратора для пользователей на ваш экземпляр GitHub Enterprise Server, выберите отключить понижение или повышение администратора

  9. При необходимости, чтобы разрешить ваш экземпляр GitHub Enterprise Server получать зашифрованные утверждения из поставщика удостоверений SAML, выберите "Требовать зашифрованные утверждения".

    Необходимо убедиться, что поставщик удостоверений поддерживает зашифрованные утверждения и что методы шифрования и передачи ключей в консоли управления соответствуют значениям, настроенным для поставщика удостоверений. Кроме того, необходимо предоставить общедоступный сертификат %% данных variables.location.product_location %}для поставщика удостоверений. Дополнительные сведения см. в разделе Включение зашифрованных утверждений.

  10. В поле "URL-адрес единого входа" введите конечную точку HTTP или HTTPS в idP для запросов единого входа. Это значение предоставляется конфигурацией поставщика удостоверений. Если узел доступен только из внутренней сети, может потребоваться настроить ваш экземпляр GitHub Enterprise Server для использования внутренних серверов имен.

  11. При необходимости в поле Издатель введите имя издателя SAML. Это проверяет подлинность сообщений, отправленных в ваш экземпляр GitHub Enterprise Server.

  12. Выберите раскрывающиеся меню метода подписи и метода дайджеста, а затем щелкните алгоритм хэширования, используемый издателем SAML, чтобы проверить целостность запросов из ваш экземпляр GitHub Enterprise Server.

  13. Выберите раскрывающееся меню "Формат идентификатора имени", а затем выберите формат.

  14. В разделе "Сертификат проверки" нажмите кнопку "Выбрать файл", а затем выберите сертификат для проверки ответов SAML из поставщика удостоверений.

  15. В разделе "Атрибуты пользователя" измените имена атрибутов SAML в соответствии с идентификатором поставщика удостоверений при необходимости или примите имена по умолчанию.

Дополнительные материалы