Observação
O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).
Sobre o OIDC para usuários empresariais gerenciados
Com Enterprise Managed Users, sua empresa usa seu IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OpenID Connect (OIDC) para gerenciar a autenticação do seu empresa com usuários gerenciados. Habilitar o SSO do OIDC é um processo de instalação com um clique com certificados gerenciados por GitHub e seu IdP.
Quando sua empresa usa o SSO do OIDC, GitHub usará automaticamente a política de acesso condicional (CAP) do IdP para as condições de IP ao validar interações com GitHub quando os membros usam a interface do usuário da Web ou alteram endereços IP, e para cada autenticação com uma chave personal access token ou chave SSH associada a uma conta de usuário. Consulte Sobre o suporte para a Política de Acesso Condicional do IdP.
Observação
A proteção de CAP para sessões da Web atualmente está em prévia pública e poderá ser alterada.
Se o suporte ao IdP CAP já estiver habilitado para sua empresa, você poderá optar pela proteção estendida para sessões da Web nas configurações de "Authentication security" da empresa. Quando a proteção de sessão da Web está habilitada e as condições de IP de um usuário não são atendidas, ele pode exibir e filtrar todos os recursos de propriedade do usuário, mas não pode exibir os detalhes dos resultados para notificações, pesquisas, painéis pessoais ou repositórios marcados como favoritos.
Você pode ajustar o tempo de vida de uma sessão e a frequência com que um(a) conta de usuário gerenciada precisa se reautenticar com seu IdP alterando a propriedade da política de tempo de vida dos tokens de ID emitidos para GitHub pelo seu IdP. O tempo de vida padrão é de uma hora. Confira Configurar políticas de vida útil de token na documentação da Microsoft.
Para alterar a propriedade da política de tempo de vida, você precisará da ID de objeto associada ao seu Enterprise Managed Users OIDC. Confira Como encontrar o ID de objeto para o aplicativo Entra OIDC.
Observação
Se você precisar de assistência para configurar o tempo de vida da sessão OIDC, entre em contato com Suporte da Microsoft.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para saber mais, confira Como migrar o SAML para o OIDC.
Aviso
Se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.
Suporte do provedor de identidade
O suporte para OIDC está disponível para clientes que usam o Entra ID.
Observação
GitHub não testa nem valida aplicativos da galeria do IdP (provedor de identidade) para uso em ambientes de nuvem governamental, incluindo o Microsoft Entra ID Government Cloud e o Okta Government Cloud. Problemas de provisionamento de SCIM e autenticação que envolvem aplicativos de galeria nesses ambientes estão fora GitHubdo escopo de suporte.
Cada tenant do Entra ID pode oferecer suporte a apenas uma integração OIDC com Enterprise Managed Users. Se você quiser conectar o Entra ID a mais de uma empresa em GitHub, use SAML. Confira Configurar o logon único SAML para usuários gerenciados pela empresa.
O OIDC não dá suporte à autenticação iniciada por IdP.
Observação
Não há suporte para declarações e atributos OIDC personalizados.
Como configurar o OIDC para usuários empresariais gerenciados
-
Entre em GitHub como o usuário de configuração para sua nova empresa com o nome de usuário @SHORT-CODE_admin.
-
Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
-
Na parte superior da página, clique em Provedor de identidade.
-
Em Identity Provider, clique em Single sign-on configuration.
-
Em "OIDC single sign-on", selecione Enable OIDC configuration.
-
Para continuar a instalação e ser redirecionado para o Entra ID, clique em Salvar.
-
Depois que o GitHub redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.
Aviso
Você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).
-
Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.
-
Clique em Habilitar Autenticação OIDC.
Habilitando provisionamento
Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Confira Configuração do provisionamento SCIM para Usuários Gerenciados da Empresa.
Ativando colaboradores convidados
Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.
Para usar colaboradores convidados com autenticação OIDC, talvez seja necessário atualizar suas configurações no Entra ID. Confira Ativar colaboradores convidados.