**Antes** de seguir as etapas neste artigo, verifique se sua empresa conta com **usuários gerenciados** e se você está conectado como o usuário de instalação cujo nome de usuário é o código curto da sua empresa com sufixo `_admin`. Você pode verificar se está conectado com o usuário correto verificando se o modo de exibição empresarial tem a barra de cabeçalho "Exibindo como SHORTCODE_admin" na parte superior da tela. Se vir isso, você estará conectado com o usuário correto e poderá seguir as etapas neste artigo. Para saber mais sobre o usuário de configuração, confira [AUTOTITLE](/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users).
Se sua empresa usa contas pessoais, você deve seguir um processo diferente para configurar o logon único SAML. Confira Configurar o logon único SAML para sua empresa.
Sobre SAML SSO para Enterprise Managed Users
Com Enterprise Managed Users, o acesso aos recursos da sua empresa em GitHub.com ou GHE.com deve ser autenticado através do seu provedor de identidade (IdP). Em vez de usar um nome de usuário e uma senha do GitHub, os membros da sua empresa farão login por meio do IdP.
Depois de configurar o SAML SSO, recomendamos armazenar seus códigos de recuperação para que você possa recuperar o acesso à sua empresa caso o seu provedor de identidade não esteja disponível.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para saber mais, confira Como migrar o SAML para o OIDC.
Pré-requisitos
-
Entenda os requisitos de integração e o nível de suporte do seu IdP.
- O GitHub oferece uma integração facilitada e total suporte se você usar um IdP de parceiro para autenticação e provisionamento.
- Como alternativa, você pode usar qualquer sistema ou combinação de sistemas que esteja em conformidade com o SAML 2.0 e o SCIM 2.0. No entanto, o suporte para resolver problemas com esses sistemas pode ser limitado.
Para ver mais detalhes, confira Sobre os Enterprise Managed Users.
-
Seu provedor de identidade deve seguir a especificação SAML 2.0. Consulte a Wiki SAML no site da OASIS.
-
Você precisa ter acesso administrativo de locatário ao seu IdP.
-
Se estiver configurando o SSO do SAML para uma nova empresa, certifique-se de concluir todas as etapas anteriores no processo de configuração inicial. Confira Introdução aos Enterprise Managed Users.
Configurar o SAML SSO para Enterprise Managed Users
Para configurar o SSO SAML para sua empresa com usuários gerenciados, você deve configurar um aplicativo em seu IdP e, em seguida, configurar sua empresa em GitHub. Depois de configurar o SAML SSO, você poderá configurar o provisionamento de usuários.
-
[Configurar seu IdP](#configure-your-idp) -
[Configurar sua empresa](#configure-your-enterprise) -
[Habilitar o provisionamento](#enable-provisioning)
Configurar seu IdP
-
Para instalar o aplicativo GitHub Enterprise Managed User usando um IdP de parceiro, clique no link correspondente ao seu IdP e ambiente.
Provedor de identidade Aplicativo para o GitHub.com Aplicativo para GHE.com Microsoft Entra ID GitHub Enterprise Managed User [GitHub Enterprise Managed User](https://azuremarketplace.microsoft.com/en-us/marketplace/apps/aad.githubenterprisemanageduser?tab=Overview) || Okta | GitHub Enterprise Managed User | GitHub Enterprise Managed User – ghe.com | | PingFederate | Site de downloads do PingFederate (navegue até a guia Complementos e selecione GitHub EMU Connector 1.0) | Site de downloads do PingFederate (navegue até a guia Complementos e selecione GitHub EMU Connector 1.0) |
-
Para configurar o SSO SAML para Enterprise Managed Users em um IdP parceiro, leia a documentação relevante para seu IdP e ambiente.
Provedor de identidade Documentação do GitHub.com Documentação do GHE.com Microsoft Entra ID [Microsoft Learn](https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/github-enterprise-managed-user-tutorial) | [Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity/saas-apps/github-enterprise-managed-user-ghe-com-tutorial) || Okta | Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa | Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa | | PingFederate | Configurar autenticação e provisionamento com PingFederate ("Pré-requisitos" e "1. Configurar seções do SAML” | Configurar autenticação e provisionamento com PingFederate ("Pré-requisitos" e "1. Configurar seções do SAML” |
Como alternativa, se você não usar um IdP de parceiro, use a referência de configuração do SAML para o GitHub a fim de criar e configurar um aplicativo SAML 2.0 genérico no IdP. Confira Referência de configuração do SAML.
-
Para testar e configurar sua empresa, atribua a si mesmo ou ao usuário que configurará o SSO SAML para sua empresa em GitHub o aplicativo que você configurou para Enterprise Managed Users em seu IdP.
Observação
Para testar uma conexão de autenticação bem-sucedida na configuração, pelo menos um usuário deve ser atribuído ao IdP.
-
Para continuar configurando sua empresa no GitHub, localize e anote as informações a seguir do aplicativo que você instalou no seu IdP.
Valor Outros nomes Descrição URL de Login do IdP URL de Logon, URL do IdP URL do aplicativo no seu IdP URL do Identificador de IdP Emissor Identificador do IdP para provedores de serviço para autenticação SAML Certificado de assinatura, codificado em Base64 Certificado público Certificado público que o IdP usa para assinar solicitações de autenticação
Configurar sua empresa
Depois de configurar o SAML SSO para o Enterprise Managed Users no seu IdP, você poderá configurar sua empresa no GitHub.
Após a configuração inicial do SSO SAML, a única configuração que você pode atualizar no GitHub para sua configuração de SAML existente é o certificado SAML, o que pode ser feito por qualquer membro com a função de proprietário da empresa. Se você precisar atualizar a URL de logon ou do emissor, primeiro desabilite o SAML SSO e, em seguida, redefina-o com as novas configurações. Para saber mais, confira Desabilitando a autenticação no Enterprise Managed Users.
-
Entre como o usuário de instalação da sua empresa com o nome de usuário SHORTCODE_admin, substituindo SHORTCODE pelo código curto da sua empresa.
Observação
Caso precise redefinir a senha para o usuário de instalação, entre em contato com o Suporte do GitHub por meio do Portal de Suporte do GitHub. A opção usual de redefinição de senha, fornecendo seu email, não funcionará.
-
Se você estiver usando um IdP de não parceiro (um IdP diferente do Okta, PingFederate ou Entra ID), antes de habilitar o SAML, deverá atualizar uma configuração para que possa configurar o SCIM usando a API REST. Confira Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa.
-
Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
-
Na parte superior da página, clique em Provedor de identidade.
-
Em Identity Provider, clique em Single sign-on configuration.
-
Em "Autenticação única SAML", selecione Adicionar a configuração do SAML.
-
Na URL de logon, digite o ponto de extremidade HTTPS do seu provedor de identidade para as solicitações de SSO que você anotou ao configurar o provedor.
-
No Emissor, digite a URL do emissor do SAML que você anotou ao configurar o IdP para verificar a autenticidade das mensagens enviadas.
-
Em Certificado Público, cole o certificado que você anotou ao configurar seu IdP para verificar as respostas SAML.
Observação
GitHub não impõe a expiração deste certificado IdP SAML. Isso significa que, mesmo que esse certificado expire, a autenticação SAML continuará funcionando. No entanto, a recomendação do GitHub é atualizar o certificado antes que ele expire. Aceitaremos uma resposta SAML assinada com um certificado expirado, mas não podemos comentar como a expiração do certificado será tratada no nível do provedor de identidade. Se o administrador do seu IdP regenerar o certificado SAML e você não o atualizar no lado do GitHub, os usuários encontrarão um erro
digest mismatchdurante as tentativas de autenticação SAML devido à incompatibilidade do certificado. Confira Erro: incompatibilidade de código hash. -
Na mesma seção Certificado Público, selecione os menus dropdown Método de Assinatura e Método de Digest, depois clique no algoritmo de hash usado pelo emissor SAML.
-
Antes de habilitar o SSO do SAML para sua empresa, a fim de garantir que as informações inseridas estejam corretas, clique em Testar configuração do SAML. Esse teste usa a autenticação iniciada pelo provedor de serviços (iniciada pelo SP) e deve ser bem-sucedida antes que você possa salvar as configurações de SAML.
-
Clique em Salvar configurações do SAML.
Observação
Depois de configurar o SSO SAML para sua empresa e salvar as configurações SAML, o usuário configurado continuará tendo acesso à empresa e permanecerá conectado ao GitHub, juntamente com os contas de usuário gerenciadas provisionados pelo seu IdP, que também terão acesso à empresa.
-
Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.
Habilitar o provisionamento
Após habilitar o SAML SSO, ative o provisionamento. Para saber mais, confira Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa.
Habilitar colaboradores convidados
Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.
Se você usar o Entra ID ou o Okta para autenticação SAML, talvez seja necessário atualizar seu aplicativo de IdP para usar colaboradores convidados. Para saber mais, confira Ativar colaboradores convidados.