Примечание.
Чтобы использовать единый вход SAML, ваша организация должна использовать GitHub Enterprise Cloud. Дополнительные сведения о том, как использовать GitHub Enterprise Cloud бесплатно, см. в статье "Настройка пробной версии GitHub Enterprise Cloud".
Сведения о едином входе SAML
Единый вход (единый вход) предоставляет владелец организации и владельцы предприятий способ управления и безопасного доступа к ресурсам организации, таким как репозитории, проблемы и запросы на вытягивание.
Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда член обращается к большинству ресурсов в организации, GitHub перенаправляет участника на идентификатор поставщика, чтобы пройти проверку подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа.
Примечание.
Единый вход SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.
Проверка подлинности поставщика удостоверений не требуется для доступа к общедоступным репозиториям определенным образом:
- Просмотр страницы обзора репозитория и содержимого файла на GitHub
- Вилка репозитория
- Выполнение операций чтения с помощью Git, таких как клонирование репозитория
Для доступа к общедоступным репозиториям требуется проверка подлинности, например просмотр проблем, запросов на вытягивание, проекты и выпуски.
Примечание.
Проверка подлинности единого входа не требуется для внешний участник совместной работы. Дополнительные сведения о внешний участник совместной работы см. в разделе Роли в организации.
Владельцы организации могут применять единый вход SAML для отдельной организации, или владельцы предприятий могут применять его для всех организаций в корпоративной учетной записи. Дополнительные сведения см. в разделе [AUTOTITLE и Основы управления идентификацией и доступом](/enterprise-cloud@latest/admin/managing-iam/using-saml-for-enterprise-iam/configuring-saml-single-sign-on-for-your-enterprise).
Перед включением единого входа SAML для вашей организации необходимо подключить к организации поставщика удостоверений. Дополнительные сведения см. в разделе Подключение поставщика идентификаторов к вашей организации.
Для организации единый вход SAML можно отключить, включить, но не применять принудительно, включить и принудительно применять. После включения единого входа SAML для организации и ее участников можно принудительно применить конфигурацию единого входа SAML. Для получения дополнительной информации о применении SAML SSO для вашей GitHub организации смотрите Применение единого входа SAML для вашей организации.
Участники должны периодически проходить проверку подлинности с помощью поставщика удостоверений, чтобы пройти проверку подлинности и получить доступ к ресурсам вашей организации. Продолжительность этого периода для входа задается поставщиком удостоверений и обычно составляет 24 часа. Это требование о периодическом входе ограничивает продолжительность доступа и требует от пользователей повторной идентификации для продолжения работы.
Чтобы получить доступ к защищённым ресурсам организации через API и Git в командной строке, участники должны авторизировать и аутентифицироваться с помощью personal access token ключа SSH или SSH. Дополнительные сведения см. в разделе [AUTOTITLE и Авторизация личного маркера доступа для использования с единым входом](/authentication/authenticating-with-single-sign-on/authorizing-an-ssh-key-for-use-with-single-sign-on).
При первом использовании SAML SSO для доступа к вашей организации GitHub автоматически создаётся запись, которая связывает вашу организацию, учетную запись участника на GitHub, и учетную запись участника на вашем IDP. Вы можете просмотреть и отозвать связанное удостоверение SAML, активные сеансы и авторизованные учетные данные для участников организации или учетной записи предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Просмотр доступа SAML участника к вашей организации и управление им](/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise).
Если участники выполнили вход в сеанс единого входа SAML при создании нового репозитория, для этого репозитория по умолчанию установлен параметр видимости "Частный". В противном случае видимость по умолчанию настраивается как "Общедоступный". Дополнительные сведения о видимости репозитория см. в разделе Сведения о репозиториях.
Члены организации также должны иметь активную сессию SAML для авторизации OAuth app. Вы можете отказаться от этого требования, связавшись с .us через портал поддержки GitHub GitHub Не рекомендуется отказываться от этого требования, так как это подвергнет вашу организацию более высокому риску захвата аккаунтов и возможной потери данных.
GitHub не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.
Поддерживаемые службы SAML
GitHub поддерживает единый вход SAML с поставщиками удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.
GitHub официально поддерживает и внутренне проверяет следующие поставщики удостоверений для SAML.
- Microsoft службы федерации Active Directory (AD FS) (AD FS)
- Идентификатор Microsoft Entra (ранее известный как Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Некоторые IDP поддерживают предоставление доступа к организации GitHub через SCIM. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.
Эту реализацию SCIM нельзя использовать с учетной записью предприятия или с организация с управляемыми пользователями. Если ваше предприятие включено для Enterprise Managed Users, необходимо использовать другую реализацию SCIM. В противном случае SCIM будет недоступен на уровне предприятия. Дополнительные сведения см. в разделе Настройка SCIM-предоставления для управляемых.
Добавление участников в организацию с помощью единого входа SAML
После включения единого входа SAML можно добавить в организацию новых участников. Владельцы организаций могут приглашать новых участников вручную через GitHub API или через него. Дополнительные сведения см. в разделе [AUTOTITLE и Отправка пользователям приглашений присоединиться к вашей организации](/rest/orgs#add-or-update-organization-membership).
Чтобы подготовить новых пользователей без приглашения из владелец организации, можно использовать URL-адресhttps://github.com/orgs/ORGANIZATION/sso/sign_up, заменив ОРГАНИЗАЦИю именем вашей организации. Например, вы можете настроить свой IdP так, чтобы любой, кто имеет доступ к IdP, мог кликнуть по ссылке на панели управления IdP, чтобы присоединиться к вашей GitHub организации.
Примечание.
Подготовка новых пользователей https://github.com/orgs/ORGANIZATION/sso/sign_up через поддерживается только при настройке единого входа SAML на уровне организации, а не при настройке единого входа SAML на уровне корпоративной учетной записи. Дополнительные сведения о едином входе SAML для корпоративных учетных записей см. в разделе Сведения о SAML для корпоративной системы IAM.
Если ваш IDP поддерживает SCIM, GitHub он может автоматически пригласить членов присоединиться к вашей организации, когда вы предоставите доступ через ваш IDP. Если вы удалите доступ участника к вашей GitHub организации через SAML IDP, он будет автоматически удален из GitHub организации. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.
You могут использовать синхронизацию групп для автоматического добавления и удаления участников организации в команды через поставщика удостоверений. Дополнительные сведения см. в разделе "Синхронизация команды с группой поставщика удостоверений
Если организация превышает 100 000 членов, некоторые функции пользовательского интерфейса и API могут быть понижены.