Skip to main content

Об управлении удостоверениями и доступом с помощью единого входа SAML

Если вы централизованно управляете идентичностью пользователей и приложениями с помощью провайдера идентификации (IdP), вы можете настроить Security Assertion Markup Language (SAML) для защиты ресурсов вашей организации на GitHub.

Примечание.

Чтобы использовать единый вход SAML, ваша организация должна использовать GitHub Enterprise Cloud. Дополнительные сведения о том, как использовать GitHub Enterprise Cloud бесплатно, см. в статье "Настройка пробной версии GitHub Enterprise Cloud".

Сведения о едином входе SAML

Единый вход (единый вход) предоставляет владелец организации и владельцы предприятий способ управления и безопасного доступа к ресурсам организации, таким как репозитории, проблемы и запросы на вытягивание.

Если вы настроили единый вход SAML, участники вашей организации продолжат входить в свои личные учетные записи в GitHub.com. Когда член обращается к большинству ресурсов в организации, GitHub перенаправляет участника на идентификатор поставщика, чтобы пройти проверку подлинности. После успешной аутентификации поставщик удостоверений перенаправляет участника обратно на GitHub. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа.

Примечание.

Единый вход SAML не заменяет обычный процесс входа для GitHub. Если вы не используете Enterprise Managed Users, участники продолжат выполнять вход в свои личные учетные записи в GitHub.com, и каждая личная учетная запись будет связана с внешним удостоверением в поставщике удостоверений.

Проверка подлинности поставщика удостоверений не требуется для доступа к общедоступным репозиториям определенным образом:

  • Просмотр страницы обзора репозитория и содержимого файла на GitHub
  • Вилка репозитория
  • Выполнение операций чтения с помощью Git, таких как клонирование репозитория

Для доступа к общедоступным репозиториям требуется проверка подлинности, например просмотр проблем, запросов на вытягивание, проекты и выпуски.

Примечание.

Проверка подлинности единого входа не требуется для внешний участник совместной работы. Дополнительные сведения о внешний участник совместной работы см. в разделе Роли в организации.

Владельцы организации могут применять единый вход SAML для отдельной организации, или владельцы предприятий могут применять его для всех организаций в корпоративной учетной записи. Дополнительные сведения см. в разделе [AUTOTITLE и Основы управления идентификацией и доступом](/enterprise-cloud@latest/admin/managing-iam/using-saml-for-enterprise-iam/configuring-saml-single-sign-on-for-your-enterprise).

Перед включением единого входа SAML для вашей организации необходимо подключить к организации поставщика удостоверений. Дополнительные сведения см. в разделе Подключение поставщика идентификаторов к вашей организации.

Для организации единый вход SAML можно отключить, включить, но не применять принудительно, включить и принудительно применять. После включения единого входа SAML для организации и ее участников можно принудительно применить конфигурацию единого входа SAML. Для получения дополнительной информации о применении SAML SSO для вашей GitHub организации смотрите Применение единого входа SAML для вашей организации.

Участники должны периодически проходить проверку подлинности с помощью поставщика удостоверений, чтобы пройти проверку подлинности и получить доступ к ресурсам вашей организации. Продолжительность этого периода для входа задается поставщиком удостоверений и обычно составляет 24 часа. Это требование о периодическом входе ограничивает продолжительность доступа и требует от пользователей повторной идентификации для продолжения работы.

Чтобы получить доступ к защищённым ресурсам организации через API и Git в командной строке, участники должны авторизировать и аутентифицироваться с помощью personal access token ключа SSH или SSH. Дополнительные сведения см. в разделе [AUTOTITLE и Авторизация личного маркера доступа для использования с единым входом](/authentication/authenticating-with-single-sign-on/authorizing-an-ssh-key-for-use-with-single-sign-on).

При первом использовании SAML SSO для доступа к вашей организации GitHub автоматически создаётся запись, которая связывает вашу организацию, учетную запись участника на GitHub, и учетную запись участника на вашем IDP. Вы можете просмотреть и отозвать связанное удостоверение SAML, активные сеансы и авторизованные учетные данные для участников организации или учетной записи предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Просмотр доступа SAML участника к вашей организации и управление им](/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise).

Если участники выполнили вход в сеанс единого входа SAML при создании нового репозитория, для этого репозитория по умолчанию установлен параметр видимости "Частный". В противном случае видимость по умолчанию настраивается как "Общедоступный". Дополнительные сведения о видимости репозитория см. в разделе Сведения о репозиториях.

Члены организации также должны иметь активную сессию SAML для авторизации OAuth app. Вы можете отказаться от этого требования, связавшись с .us через портал поддержки GitHub GitHub Не рекомендуется отказываться от этого требования, так как это подвергнет вашу организацию более высокому риску захвата аккаунтов и возможной потери данных.

GitHub не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.

Поддерживаемые службы SAML

GitHub поддерживает единый вход SAML с поставщиками удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub официально поддерживает и внутренне проверяет следующие поставщики удостоверений для SAML.

  • Microsoft службы федерации Active Directory (AD FS) (AD FS)
  • Идентификатор Microsoft Entra (ранее известный как Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Некоторые IDP поддерживают предоставление доступа к организации GitHub через SCIM. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.

Эту реализацию SCIM нельзя использовать с учетной записью предприятия или с организация с управляемыми пользователями. Если ваше предприятие включено для Enterprise Managed Users, необходимо использовать другую реализацию SCIM. В противном случае SCIM будет недоступен на уровне предприятия. Дополнительные сведения см. в разделе Настройка SCIM-предоставления для управляемых.

Добавление участников в организацию с помощью единого входа SAML

После включения единого входа SAML можно добавить в организацию новых участников. Владельцы организаций могут приглашать новых участников вручную через GitHub API или через него. Дополнительные сведения см. в разделе [AUTOTITLE и Отправка пользователям приглашений присоединиться к вашей организации](/rest/orgs#add-or-update-organization-membership).

Чтобы подготовить новых пользователей без приглашения из владелец организации, можно использовать URL-адресhttps://github.com/orgs/ORGANIZATION/sso/sign_up, заменив ОРГАНИЗАЦИю именем вашей организации. Например, вы можете настроить свой IdP так, чтобы любой, кто имеет доступ к IdP, мог кликнуть по ссылке на панели управления IdP, чтобы присоединиться к вашей GitHub организации.

Примечание.

Подготовка новых пользователей https://github.com/orgs/ORGANIZATION/sso/sign_up через поддерживается только при настройке единого входа SAML на уровне организации, а не при настройке единого входа SAML на уровне корпоративной учетной записи. Дополнительные сведения о едином входе SAML для корпоративных учетных записей см. в разделе Сведения о SAML для корпоративной системы IAM.

Если ваш IDP поддерживает SCIM, GitHub он может автоматически пригласить членов присоединиться к вашей организации, когда вы предоставите доступ через ваш IDP. Если вы удалите доступ участника к вашей GitHub организации через SAML IDP, он будет автоматически удален из GitHub организации. Дополнительные сведения см. в разделе Сведения о SCIM для организаций.

You могут использовать синхронизацию групп для автоматического добавления и удаления участников организации в команды через поставщика удостоверений. Дополнительные сведения см. в разделе "Синхронизация команды с группой поставщика удостоверений

Если организация превышает 100 000 членов, некоторые функции пользовательского интерфейса и API могут быть понижены.

Дополнительные материалы