Enterprise Server 3.21 в настоящее время доступен в качестве кандидата на выпуск.

Настройка единого входа SAML для предприятия

Вы можете контролировать и обеспечивать безопасность доступа к ваш экземпляр GitHub Enterprise Server вашего предприятия, обеспечивая настройку SAML single sign-on (SSO) через вашего провайдера идентификации (IdP).

Кто может использовать эту функцию?

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

В этой статье

Сведения о едином входе SAML

SAML SSO позволяет централизованно управлять и обеспечивать безопасность доступа с ваш экземпляр GitHub Enterprise Server вашего SAML IDP.

Если неаутентифицированный пользователь пытается войти ваш экземпляр GitHub Enterprise Server в систему, а у вас отключена встроенная аутентификация, GitHub перенаправляйте пользователя на ваш SAML IDP для аутентификации. После успешной аутентификации пользователя с учётной записью в IdP, IdP перенаправляет пользователя обратно на ваш экземпляр GitHub Enterprise Server. GitHub проверяет ответ вашего IDP, затем предоставляет доступ пользователю. Сеанс SAML пользователя активен в браузере в течение 24 часов. После этого пользователь должен снова пройти проверку подлинности с помощью поставщика удостоверений.

При подготовке JIT при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя на ваш экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе Приостановка и возобновление работы пользователей.

Поддерживаемые поставщики удостоверений

GitHub поддерживает единый вход SAML с поставщиками удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub официально поддерживает и внутренне проверяет следующие поставщики удостоверений для SAML. Дополнительные сведения о поставщиках удостоверений, поддерживаемых SCIM для GitHub Enterprise Server, см. в разделе О пользовательском провизионировании с помощью SCIM на GitHub Enterprise Server.

  • Microsoft службы федерации Active Directory (AD FS) (AD FS)
  • Идентификатор Microsoft Entra (ранее известный как Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Для получения дополнительной информации о подключении Entra ID к вашему предприятию смотрите Tutorial: Microsoft Entra интеграция SSO с GitHub Enterprise Server в Документация Майкрософт году.

Примечание.

GitHub не тестирует и не валидирует галереи идентификаторов (IDP) для использования в Government Cloud средах, включая Microsoft Entra ID Government Cloud и Okta Government Cloud. Вопросы аутентификации и предоставления SCIM, связанные с галерейными приложениями в этих средах, выходят за GitHubрамки поддержки.

Рекомендации по использованию имен пользователей в SAML

GitHub нормализует значение от external authentication provider для определения имени пользователя для каждого нового личная учетная запись на ваш экземпляр GitHub Enterprise Server. Для получения дополнительной информации см. Рекомендации по использованию имени пользователя для внешней проверки подлинности.

Настройка единого входа SAML

Вы можете включить или отключить SAML-аутентификацию ваш экземпляр GitHub Enterprise Server, либо отредактировать существующую конфигурацию. Вы можете просматривать и редактировать настройки аутентификации в Консоль управления. Дополнительные сведения см. в разделе Администрирование экземпляра из веб-интерфейса.

Примечание.

GitHub настоятельно рекомендует проверять все новые конфигурации проверки подлинности в промежуточной среде. Неправильная конфигурация может привести к простою для ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Настройка промежуточного экземпляра.

  1. В учетной записи администратора GitHub Enterprise Server, в правом верхнем углу любой страницы щелкните .

  2. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.

  3. На боковой панели " "Администратор сайта" щелкните Консоль управления.

  4. На боковой панели "Параметры" щелкните "Проверка подлинности".

  5. В разделе "Проверка подлинности" выберите SAML.

  6. При необходимости для того, чтобы разрешить пользователям без учетной записи во внешней системе проверки подлинности вход с помощью встроенной проверки подлинности, выберите Разрешить встроенную проверку подлинности. Дополнительные сведения см. в разделе Разрешение встроенной проверки подлинности для пользователей за пределами поставщика.

  7. При необходимости, чтобы включить единый вход без запроса, выберите Единый вход, инициированный поставщиком удостоверений. По умолчанию GitHub Enterprise Server он отвечает на нежеланный запрос, инициированный Identity Provider (IdP), с ответом AuthnRequest обратно к IdP.

    Совет

    Рекомендуется сохранить это значение без выбора. Эту функцию следует включать только в редких случаях, когда ваша реализация SAML не поддерживает SSO, инициированный провайдером, и при рекомендации от Поддержка GitHub Enterprise.

  8. Опционально, если вы не хотите, чтобы ваш SAML определял права администратора для пользователей , ваш экземпляр GitHub Enterprise Serverвыберите Отключить понижение/повышение администратором

  9. Опционально, чтобы получить ваш экземпляр GitHub Enterprise Server зашифрованные утверждения от вашего SAML IDP, выберите «Требовать зашифрованные утверждения».

    Необходимо убедиться, что поставщик удостоверений поддерживает зашифрованные утверждения и что методы шифрования и передачи ключей в консоли управления соответствуют значениям, настроенным для поставщика удостоверений. Вы также должны предоставить ваш экземпляр GitHub Enterprise Serverпубличный сертификат для вашего IDP. Дополнительные сведения см. в разделе Включение зашифрованных утверждений.

  10. В поле URL-адреса единого входа введите конечную точку HTTP или HTTPS поставщика удостоверений для запросов единого входа. Это значение предоставляется конфигурацией поставщика удостоверений. Если хост доступен только из вашей внутренней сети, возможно, потребуется настроить ваш экземпляр GitHub Enterprise Server использование внутренних серверов имён.

  11. При необходимости в поле Издатель введите имя издателя SAML. Это проверяет подлинность сообщений, отправленных на ваш экземпляр GitHub Enterprise Server.

  12. Выберите выпадающие меню Signature Method и Digest Method, затем нажмите на алгоритм хеширования, используемый вашим SAML-эмитентом, чтобы проверить целостность запросов из ваш экземпляр GitHub Enterprise Server.

  13. Выберите раскрывающееся меню "Формат идентификатора имени", а затем выберите формат.

  14. В разделе "Сертификат проверки" нажмите кнопку "Выбрать файл", а затем выберите сертификат, чтобы проверить ответы SAML из поставщика удостоверений.

    Примечание.

    GitHub не гарантирует истечения срока действия этого сертификата SAML IdP. Это означает, что даже если срок действия этого сертификата истекает, проверка подлинности SAML продолжит работать. Однако если ваш администратор IDP восстанавливает сертификат SAML, а вы не обновляете его отдельно GitHub , пользователи столкнутся digest mismatch с ошибкой при попытках аутентификации SAML из-за несоответствия сертификатов. См . ошибку: несоответствие дайджеста.

  15. В разделе "Атрибуты пользователя" измените имена атрибутов SAML в соответствии с идентификатором поставщика удостоверений при необходимости или примите имена по умолчанию.

Дополнительные материалы