Skip to main content

使用 Okta 配置 SAML 单点登录和 SCIM

您可以将安全断言标记语言(SAML)单点登录(SSO)和跨域身份管理系统(SCIM)与 Okta 配合使用,自动管理对您在 GitHub 上的组织的访问权限。

谁可以使用此功能?

Organization owners can configure SAML SSO and SCIM using Okta for an organization.

关于 SAML 和 SCIM 与 Okta

你可以通过将组织配置为使用 Okta(标识提供者 (IdP))的 SAML SSO 和 SCIM,从一个中央界面控制对你在 GitHub 上的组织和其他 Web 应用程序的访问。

注意

若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置试用版 GitHub Enterprise Cloud”。

SAML SSO 控制并保护对组织资源(如仓库、议题和拉取请求)的访问。 在 Okta 中进行更改时,SCIM 会自动添加、管理和删除成员对组织 GitHub 的访问权限。 有关详细信息,请参阅 关于使用 SAML 单一登录进行的身份和访问管理关于组织的 SCIM

启用 SCIM 后,可在 Okta 中为应用程序 GitHub Enterprise Cloud 分配的任何用户使用以下预配功能。

功能说明
推送给新用户在 Okta 中创建新用户时,用户将收到一封电子邮件以加入组织 GitHub。
推送用户停用在 Okta 中停用某个用户时,Okta 将从你的组织 GitHub中删除该用户。
推送个人资料更新在 Okta 中更新用户配置文件时,Okta 将更新组织中 GitHub用户成员身份的元数据。
重新激活用户在 Okta 中重新激活用户时,Okta 将发送电子邮件邀请用户重新加入组织 GitHub。

或者,您可以使用 Okta 为企业配置 SAML SSO。 适用于企业帐户的 SCIM 仅适用于企业托管用户。 有关详细信息,请参阅 使用 Okta 为企业配置 SAML 单点登录使用 Okta 配置 SCIM 预配

在 Okta 中配置 SAML

  1. 在 Okta 仪表板中,展开“应用程序”菜单,然后单击“应用程序” 。
  2. 单击“浏览应用目录”。
  3. 搜索名为“GitHub Enterprise Cloud - Organization”的应用程序。
  4. 单击“添加集成”。
  5. 填写表单,在 GitHub 上填写您组织的名称,并在“应用程序标签”字段中填写一个唯一名称。
  6. 将应用程序分配给您在 Okta 中的用户。 有关详细信息,请参阅 Okta 文档中的向用户分配应用程序
  7. 在应用程序名称下,单击“登录”。
  8. 在“登录方法”下,单击“查看设置说明”。
  9. 根据《如何配置 SAML 2.0》指南,使用其中的登录 URL、颁发者 URL 和公钥证书,在 GitHub 上启用并测试 SAML SSO。 有关详细信息,请参阅“为您的组织启用和测试 SAML 单点登录”。

在 Okta 中使用 SCIM 配置访问配置

若要将 SCIM 用于你的组织,必须使用第三方拥有的 OAuth app。 OAuth app 必须由特定 GitHub 用户授权,然后代表该用户执行操作。 如果上次授权此 OAuth app 的用户离开或者被从组织中移除,SCIM 将停止工作。 为避免此问题,我们建议创建一个专用用户帐户来配置 SCIM。 此用户帐户必须是组织所有者,并且将使用许可证。

  1. 使用作为组织所有者且理想情况下仅用于 SCIM 配置的帐户登录到 GitHub。

  2. 若要为组织创建活动的 SAML 会话,请导航到 https://github.com/orgs/ORGANIZATION-NAME/sso。 有关详细信息,请参阅“关于使用单一登录进行身份验证”。

  3. 导航到 Okta。

  4. 在左侧边栏中,使用“应用程序”下拉列表并单击“应用程序” 。

  5. 在应用程序列表中,单击为使用 GitHub Enterprise Cloud 的组织所创建的应用程序的标签。

  6. 在应用程序名称下,单击“预配”。

  7. 单击“配置 API 集成”。

  8. 选择“启用 API 集成”。

    注意

    GitHub 支持“导入组”。 选择或取消选择复选框对你的配置没有影响。

  9. 单击“ 使用 GitHub Enterprise Cloud - 组织进行身份验证”。

  10. 在您组织名称旁边,单击“授权”。

    注意

    如果看不到组织,这可能是因为 OAuth app 为组织启用了访问限制。 若要继续,您需要为组织批准“OKTA SCIM 集成”应用程序。 有关详细信息,请参阅“为贵组织批准 OAuth 应用程序”。

  11. 单击“授权 OktaOAN”。

  12. 单击保存

  13. 为避免同步错误并确认用户已启用 SAML 且拥有 SCIM 关联标识,建议你审核组织的用户。 有关详细信息,请参阅“排除组织的标识和访问管理故障”。

  14. 在“预配到应用”右侧,单击“编辑”。

  15. 在“创建用户”右侧,选择“启用”。

  16. 在“更新用户属性”右侧,选择“启用”。

  17. 在“停用用户”右侧,选择“启用”。

  18. 单击“保存” 。

其他阅读材料