Organization 向けの SAML シングルサインオンを有効化してテストする

Organization のオーナーと管理者は、SAML シングルサインオンを有効にして、Organization のセキュリティを強化できます。

この記事の内容

SAMLシングルサインオンについて

すべてのメンバーに使用するように強制する必要なく、Organization 内で SAML SSO を有効化できます。 SAML SSO を Organization 内で強制せずに有効化することで、Organization での SAML SSO の導入がスムーズになります。 Organization 内の大半のメンバーが SAML SSO を使用するようになったら、Organization 内で強制化できます。

メモ

SAML シングル サインオンを使うには、organization が GitHub Enterprise Cloud を使っている必要があります。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。

SAML SSO を有効化しても強制はしない場合、SAML SSO を使用しないメンバーは、引き続き Organization のメンバーであり続けます。 SAML SSO の適用の詳細については、「Organization で SAML シングルサインオンを施行する」を参照してください。

メモ

外部コラボレーターには SSO 認証は必要ありません。 外部コラボレーターの詳細については、「Organizationのロール」を参照してください。

SAML SSO が無効になっているとき、リンクされているすべての外部 ID が GitHub から削除されます。

SAML SSO を有効にした後、OAuth app と GitHub App の認可を取り消して再承認してからでないと、組織にアクセスできない場合があります。 詳しくは、「OAuth アプリの承認」をご覧ください。

Organization 向けの SAML シングルサインオンを有効化してテストする

OrganizationでSAML SSOを施行する前に、Organizationの準備ができていることを確認してください。 詳しくは、「Organization での SAML シングルサインオンの強制を準備する」をご覧ください。

GitHub が SAML SSO をサポートする ID プロバイダー (IdP) の詳細については、「アイデンティティプロバイダを Organization に接続する」を参照してください。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

  2. 組織の隣の [設定] をクリックします。

  3. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。

  4. [SAML single sign-on] の、[Enable SAML authentication] を選びます。

    メモ

    SAML SSO を有効にした後、シングル サインオンのリカバリ コードをダウンロードして、IdP が使用できない場合でも organization にアクセスできるようにすることができます。 詳しくは、「Organization の SAML シングルサインオンのリカバリコードをダウンロードする」をご覧ください。

  5. [Sign on URL] フィールドにシングルサインオンのリクエスト用の IdP の HTTPS エンドポイントを入力します。 この値は Idp の設定で使用できます。

  6. または、[Issuer] フィールドに SAML 発行者の名前を入力します。 これにより、送信メッセージの信ぴょう性が検証されます。

    メモ

    Organization でチームの同期を有効にする場合、[Issuer] フィールドは必須です。 詳しくは、「Organization の Team 同期を管理する」をご覧ください。

  7. [Public Certificate] に証明書を貼り付けて SAML の応答を確認します。

    メモ

    GitHub では、この SAML IdP 証明書の有効期限は適用されません。 つまり、この証明書の有効期限が切れても、SAML 認証は引き続き機能します。 ただし、IdP 管理者が SAML 証明書を再生成し、GitHub 側で更新しないと、証明書の不一致により、SAML 認証の試行中に digest mismatch エラーが発生します。 「エラー: "Digest mismatch"」を参照してください。

  8. 公開証明書で、現在のシグネチャ メソッドとダイジェスト メソッドの右側にある をクリックします。

    SAML 設定の現在のシグネチャ メソッドとダイジェスト メソッドのスクリーンショット。 鉛筆アイコンがオレンジ色の枠線で強調表示されています。

  9. [シグネチャ メソッド][ダイジェスト メソッド] のドロップダウン メニューを選び、SAML 発行者が使っているハッシュ アルゴリズムをクリックします。

  10. 組織で SAML SSO を有効にする前に、入力した情報が正しいことを確認するために、 [SAML 構成のテスト] をクリックします。 このテストではサービス プロバイダーによって開始される (SP によって開始される) 認証が使われ、SAML 設定を保存するにはこれに成功する必要があります。

    ヒント

    組織で SAML SSO を設定するとき、組織のメンバーに影響を与えずに、 [組織名 組織のすべてのメンバーに対して SAML SSO 認証を要求する] チェック ボックスをオフにすることで、実装をテストできます。

  11. SAML SSO を強制して、IdP により認証をされていないすべての Organization メンバーを削除するには、 [ <Organization 名> のすべてのメンバーに対して SAML SSO 認証を要求する] を選択します。 SAML SSO の適用の詳細については、「Organization で SAML シングルサインオンを施行する」を参照してください。

  12. [保存] をクリックします。

参考資料