**Antes** de seguir as etapas neste artigo, verifique se sua empresa conta com **usuários gerenciados** e se você está conectado como o usuário de instalação cujo nome de usuário é o código curto da sua empresa com sufixo `_admin`. Você pode verificar se está conectado com o usuário correto verificando se o modo de exibição empresarial tem a barra de cabeçalho "Exibindo como SHORTCODE_admin" na parte superior da tela. Se vir isso, você estará conectado com o usuário correto e poderá seguir as etapas neste artigo. Para saber mais sobre o usuário de configuração, confira [AUTOTITLE](/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users).
Se sua empresa usa contas pessoais, você deve seguir um processo diferente para configurar o logon único SAML. Confira Configurar o logon único SAML para sua empresa.
Sobre o SSO do SAML para Enterprise Managed Users
Com o Enterprise Managed Users, o acesso aos recursos da sua empresa no GitHub.com ou GHE.com deve ser autenticado por meio do seu provedor de identidade (IdP). Em vez de entrar com um GitHub nome de usuário e senha, os membros da sua empresa entrarão por meio do IdP.
Depois de configurar o SAML SSO, recomendamos armazenar seus códigos de recuperação para que você possa recuperar o acesso à sua empresa caso o seu provedor de identidade não esteja disponível.
Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para saber mais, confira Como migrar o SAML para o OIDC.
Pré-requisitos
-
Entenda os requisitos de integração e o nível de suporte do seu IdP.
-
GitHub oferece uma integração "paved-path" e suporte completo se você usar um **IdP parceiro** tanto para autenticação quanto para provisionamento. - Como alternativa, você pode usar qualquer sistema ou combinação de sistemas que esteja em conformidade com o SAML 2.0 e o SCIM 2.0. No entanto, o suporte para resolver problemas com esses sistemas pode ser limitado.
Para ver mais detalhes, confira Sobre os Enterprise Managed Users.
-
-
Seu provedor de identidade deve seguir a especificação SAML 2.0. Consulte a Wiki SAML no site da OASIS.
-
Você precisa ter acesso administrativo de locatário ao seu IdP.
-
Se estiver configurando o SSO do SAML para uma nova empresa, certifique-se de concluir todas as etapas anteriores no processo de configuração inicial. Confira Introdução aos Enterprise Managed Users.
Configurar o SSO do SAML para Enterprise Managed Users
Para configurar o SSO do SAML para seu empresa com usuários gerenciados, você deve configurar um aplicativo em seu IdP e, em seguida, configurar sua empresa no GitHub. Depois de configurar o SAML SSO, você poderá configurar o provisionamento de usuários.
-
[Configurar seu IdP](#configure-your-idp) -
[Configurar sua empresa](#configure-your-enterprise) -
[Habilitar o provisionamento](#enable-provisioning)
Configurar seu IdP
-
Se você usar um IdP parceiro, para instalar o aplicativo GitHub Enterprise Managed User, clique no link correspondente ao seu IdP e ambiente.
Provedor de identidade Aplicativo para GitHub.com Aplicativo para GHE.com Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User [ GitHub Enterprise Managed User - ghe.com](https://www.okta.com/integrations/github-enterprise-managed-user-ghe-com/) || PingFederate | Site de downloads do PingFederate (navegue até a guia Complementos e, em seguida, selecione o GitHub EMU Connector 1.0) | Site de downloads do PingFederate (navegue até a guia Complementos e, em seguida, selecione GitHub Conector EMU 1.0) |
-
Para configurar o SSO SAML para Enterprise Managed Users em um IdP parceiro, consulte a documentação relevante do seu IdP e ambiente.
Provedor de identidade Documentação para GitHub.com Documentação para GHE.com Microsoft Entra ID [Microsoft Learn](https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/github-enterprise-managed-user-tutorial) | [Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity/saas-apps/github-enterprise-managed-user-ghe-com-tutorial) || Okta | Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa | Como configurar o logon único SAML com Okta para usuários gerenciados pela empresa | | PingFederate | Configurar autenticação e provisionamento com PingFederate ("Pré-requisitos" e "1. Configurar seções do SAML” | Configurar autenticação e provisionamento com PingFederate ("Pré-requisitos" e "1. Configurar seções do SAML” |
Como alternativa, se você não usar um IdP de parceiro, poderá usar a referência de configuração SAML para GitHub criar e configurar um aplicativo SAML 2.0 genérico em seu IdP. Confira Referência de configuração do SAML.
-
Para testar e configurar sua empresa, atribua a si mesmo ou ao usuário que vai configurar o SSO SAML para sua empresa no GitHub ao aplicativo que você configurou para Enterprise Managed Users no seu IdP.
Observação
Para testar uma conexão de autenticação bem-sucedida na configuração, pelo menos um usuário deve ser atribuído ao IdP.
-
Para continuar a configuração da sua empresa no GitHub, localize e anote as informações a seguir do aplicativo instalado em seu IdP.
Valor Outros nomes Descrição URL de Login do IdP URL de Logon, URL do IdP URL do aplicativo no seu IdP URL do Identificador de IdP Emissor Identificador do IdP para provedores de serviço para autenticação SAML Certificado de assinatura, codificado em PEM Certificado público Certificado público que o IdP usa para assinar solicitações de autenticação
Configurar sua empresa
Depois de configurar o SSO do SAML para Enterprise Managed Users no seu IdP, você poderá configurar sua empresa no GitHub.
Após a configuração inicial do SSO do SAML, a única configuração em GitHub que você pode atualizar para a configuração do SAML existente é o certificado SAML, que pode ser feito por qualquer membro com a função de proprietário da empresa. Se você precisar atualizar a URL de logon ou do emissor, primeiro desabilite o SAML SSO e, em seguida, redefina-o com as novas configurações. Para saber mais, confira Desabilitando a autenticação no Enterprise Managed Users.
-
Entre como o usuário de instalação da sua empresa com o nome de usuário SHORTCODE_admin, substituindo SHORTCODE pelo código curto da sua empresa.
Observação
Caso precise redefinir a senha para o usuário de instalação, entre em contato com o Suporte do GitHub por meio do Portal de Suporte do GitHub. A opção usual de redefinição de senha, fornecendo seu email, não funcionará.
-
Se você estiver usando um IdP de não parceiro (um IdP diferente do Okta, PingFederate ou Entra ID), antes de habilitar o SAML, deverá atualizar uma configuração para que possa configurar o SCIM usando a API REST. Confira Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa.
-
Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.
-
Na parte superior da página, clique em Provedor de identidade.
-
Em Identity Provider, clique em Single sign-on configuration.
-
Em "Autenticação única SAML", selecione Adicionar a configuração do SAML.
-
Na URL de logon, digite o ponto de extremidade HTTPS do seu provedor de identidade para as solicitações de SSO que você anotou ao configurar o provedor.
-
No Emissor, digite a URL do emissor do SAML que você anotou ao configurar o IdP para verificar a autenticidade das mensagens enviadas.
-
Em Certificado Público, cole o certificado que você anotou ao configurar seu IdP para verificar as respostas SAML.
Observação
GitHub não requer a expiração deste certificado IdP SAML. Isso significa que, mesmo que esse certificado expire, a autenticação SAML continuará funcionando. No entanto, GitHuba recomendação é atualizar o certificado antes que ele expire. Aceitaremos uma resposta SAML assinada com um certificado expirado, mas não podemos comentar como a expiração do certificado será tratada no nível do provedor de identidade. Se o administrador do seu IdP gerar novamente o certificado SAML e você não atualizá-lo no lado do GitHub, os usuários encontrarão um erro `digest mismatch` durante as tentativas de autenticação SAML devido à incompatibilidade do certificado. Confira [Erro: incompatibilidade de código hash](/admin/managing-iam/using-saml-for-enterprise-iam/troubleshooting-saml-authentication#error-digest-mismatch). -
Na mesma seção Certificado Público, selecione os menus dropdown Método de Assinatura e Método de Digest, depois clique no algoritmo de hash usado pelo emissor SAML.
-
Antes de habilitar o SSO do SAML para sua empresa, a fim de garantir que as informações inseridas estejam corretas, clique em Testar configuração do SAML. Esse teste usa a autenticação iniciada pelo provedor de serviços (iniciada pelo SP) e deve ser bem-sucedida antes que você possa salvar as configurações de SAML.
-
Clique em Salvar configurações do SAML.
Observação
Depois que você exigir SSO SAML para sua empresa e salvar as configurações SAML, o usuário de configuração continuará tendo acesso à empresa e permanecerá conectado ao GitHub, juntamente com os contas de usuário gerenciadas provisionados pelo seu IdP, que também terão acesso à empresa.
-
Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.
Habilitar o provisionamento
Após habilitar o SAML SSO, ative o provisionamento. Para saber mais, confira Configurando o provisionamento de SCIM para Usuários Gerenciados pela Empresa.
Habilitar colaboradores convidados
Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.
Se você usar o Entra ID ou o Okta para autenticação SAML, talvez seja necessário atualizar seu aplicativo de IdP para usar colaboradores convidados. Para saber mais, confira Ativar colaboradores convidados.