Настройка единого входа SAML для управляемых пользователей GitHub Enterprise

          **Прежде чем** выполнять действия, описанные в этой статье, убедитесь, что ваше предприятие использует **управляемых пользователей** и войдете в систему в качестве пользователя установки, имя пользователя которого является суффиксом `_admin`shortcode вашего предприятия. Вы можете убедиться, что вы выполнили вход с правильным пользователем, проверив, имеет ли ваше корпоративное представление строку заголовка "Просмотр как SHORTCODE_admin" в верхней части экрана. Если вы видите это, вы вошли с правильным пользователем, и вы можете выполнить действия, описанные в этой статье. Дополнительные сведения о пользователе установки см. в разделе [AUTOTITLE](/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users).

Если ваше предприятие использует личная учетная запись, необходимо выполнить другой процесс, чтобы настроить единый вход SAML. См . раздел AUTOTITLE.

О SAML SSO для Enterprise Managed Users

С Enterprise Managed Users, доступ к ресурсам вашего предприятия должен GitHub.comGHE.com быть аутентифицирован через вашего идентификатора (IdP). Вместо входа с GitHub помощью имени пользователя и пароля участники вашего предприятия войдут через ваш IDP.

После настройки единого входа SAML рекомендуется хранить код восстановления, чтобы вы могли восстановить доступ к вашей организации в случае недоступности поставщика удостоверений.

Если вы в настоящее время используете единый вход SAML для проверки подлинности, но предпочитаете применять OIDC и воспользоваться поддержкой CAP, можно пойти по пути миграции. Дополнительные сведения см. в разделе Миграция с SAML на OIDC.

Необходимые компоненты

• Изучите требования к интеграции и уровень поддержки поставщика удостоверений.

  • GitHub предлагает интеграцию с «асфальтированным путём» и полную поддержку, если вы используете партнёрский IDP как для аутентификации, так и для провизии.
  • Кроме того, можно использовать любую систему или комбинацию систем, соответствующих SAML 2.0 и SCIM 2.0. Однако поддержка устранения проблем с этими системами может быть ограничена.

  Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.

• Поставщик удостоверений должен соответствовать спецификации SAML 2.0. См. вики-сайт SAML на веб-сайте OASIS.

• У вас должен быть административный доступ клиента к идентификатору поставщика удостоверений.

• Если вы настраиваете единый вход SAML для нового предприятия, обязательно выполните все предыдущие действия в начальном процессе настройки. См . раздел AUTOTITLE.

Настройте SAML SSO для Enterprise Managed Users

Чтобы настроить SAML SSO для вашего корпоративный с управляемыми пользователями, необходимо настроить приложение на вашем IdP, а затем настроить предприятие на GitHub. После настройки единого входа SAML можно настроить подготовку пользователей.

1.        [Настройка поставщика удостоверений](#configure-your-idp)
   

2.        [Настройка предприятия](#configure-your-enterprise)
   

3.        [Включение подготовки](#enable-provisioning)
   

Настройка поставщика удостоверений

1. Если вы используете партнёрский IDP для установки GitHub Enterprise Managed User приложения, перейдите по ссылке на ваш IDP и окружение.

   Поставщик удостоверений	Приложение для GitHub.com	Приложение для GHE.com
   Microsoft Entra ID	GitHub Enterprise Managed User	GitHub Enterprise Managed User
   Okta	GitHub Enterprise Managed User

          [
          GitHub Enterprise Managed User - ghe.com](https://www.okta.com/integrations/github-enterprise-managed-user-ghe-com/) |
   

   | PingFederate | Сайт загрузок PingFederate (перейдите на вкладку Add-on , затем выберите GitHub EMU Connector 1.0) | Сайт загрузок PingFederate (перейдите на вкладку Add-on , затем выберите GitHub EMU Connector 1.0) |

2. Чтобы настроить SAML SSO для Enterprise Managed Users партнёрского IdP, прочитайте соответствующую документацию для вашего IDP и среды.

   Поставщик удостоверений	Документация для GitHub.com	Документация для GHE.com
   Microsoft Entra ID

          [Microsoft Learn](https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/github-enterprise-managed-user-tutorial) | 
          [Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity/saas-apps/github-enterprise-managed-user-ghe-com-tutorial) |
   

   | Okta | Настройка единого входа SAML в Okta for Enterprise Managed Users | Настройка единого входа SAML в Okta for Enterprise Managed Users | | PingFederate | Настройка проверки подлинности и подготовки с помощью PingFederate ("Предварительные требования" и "1". Настройка разделов SAML) | Настройка проверки подлинности и подготовки с помощью PingFederate ("Предварительные требования" и "1". Настройка разделов SAML) |

   Или, если вы не используете партнёрский IdP, вы можете использовать ссылку конфигурации SAML для GitHub создания и настройки универсального приложения SAML 2.0 на вашем IdP. См . раздел AUTOTITLE.

3. Для тестирования и настройки вашего предприятия назначьте себе или пользователю, который настроит SAML SSO для вашего предприятия GitHub , на приложение, которое вы настроили Enterprise Managed Users на вашем IdP.

   Примечание.

   Чтобы проверить успешное подключение к проверке подлинности при настройке, необходимо назначить по крайней мере одному пользователю идентификатору поставщика удостоверений.

4. Чтобы продолжить настраивать вашу компанию GitHub, найдите и запишите следующую информацию из приложения, которое вы установили на IdP.

   Значение	Другие названия	Description
   URL-адрес для входа IdP	URL-адрес для входа, URL-адрес для IdP	URL-адрес приложения в IdP
   URL-адрес идентификатора IdP	Издатель	Идентификатор IdP для поставщиков услуг для проверки подлинности SAML
   Сертификат подписания, кодированный PEM	Общедоступный сертификат	Общедоступный сертификат, который IdP использует для подписания запросов на проверку подлинности

Настройка предприятия

После настройки SAML SSO на Enterprise Managed Users вашем IdP вы можете настроить предприятие на GitHub.

После начальной настройки SAML SSO единственная настройка, которую можно обновить GitHub для вашей существующей конфигурации SAML, — это сертификат SAML, который может быть выполнен любым участником с ролью владельца предприятия. Если необходимо обновить URL-адрес входа или URL-адрес издателя, необходимо сначала отключить единый вход SAML, а затем перенастроить единый вход SAML с новыми параметрами. Дополнительные сведения см. в разделе Отключение проверки подлинности для управляемых пользователей Enterprise.

1. Войдите в качестве пользователя установки для вашей организации с помощью имени пользователя SHORTCODE_admin, заменив SHORTCODE коротким кодом вашего предприятия.

   Примечание.

   Если вам нужно сбросить пароль для пользователя установки, обратитесь к Служба поддержки GitHub через Портал поддержки GitHub. Обычный параметр сброса пароля, указав ваш адрес электронной почты, не будет работать.

2. Если вы используете поставщик удостоверений , отличных от Okta, PingFederate или Entra ID, перед включением SAML необходимо обновить параметр, чтобы настроить SCIM с помощью REST API. См . раздел AUTOTITLE.

3. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

4. В левой части страницы на боковой панели учетной записи предприятия щелкните поставщик удостоверений.

5. В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.

6. В разделе "Единый вход SAML" выберите "Добавить конфигурацию SAML".

7. В разделе URL-адрес входа введите конечную точку HTTPS поставщика удостоверений для запросов единого входа, которые вы указали при настройке поставщика удостоверений.

8. В разделе Издатель введите URL-адрес издателя SAML, который вы записали при настройке своего IdP, чтобы проверить подлинность отправленных сообщений.

9. В разделе Общедоступный сертификат вставьте сертификат, который вы записали при настройке своего IdP, чтобы проверить ответы SAML.

   Примечание.

          GitHub не гарантирует истечения срока действия этого сертификата SAML IdP. Это означает, что даже если срок действия этого сертификата истекает, проверка подлинности SAML продолжит работать. Однако GitHubрекомендация — обновлять сертификат до истечения срока действия. Мы примем ответ SAML, подписанный истекшим сертификатом, но не можем комментировать, как будет оформлено истечение срока действия сертификата на уровне поставщика личности. Если ваш администратор IDP восстанавливает сертификат SAML, а вы не обновляете его отдельно GitHub , пользователи столкнутся `digest mismatch` с ошибкой при попытках аутентификации SAML из-за несоответствия сертификатов. См [. ошибку: несоответствие](/admin/managing-iam/using-saml-for-enterprise-iam/troubleshooting-saml-authentication#error-digest-mismatch) дайджеста.
   

10. В том же разделе "Общедоступный сертификат" выберите раскрывающееся меню "Метод подписи" и "Дайджест-метод**" и **выберите алгоритм хэширования, используемый издателем SAML.

11. Перед включением единого входа SAML для вашего предприятия нажмите Проверить конфигурацию SAML, чтобы убедиться, что введенные сведения верны. В этом тесте используется проверка подлинности, инициированной поставщиком услуг (SP), и она должна быть успешной, прежде чем сохранить параметры SAML.

12. Нажмите кнопку Save SAML settings (Сохранить параметры SAML).

    Примечание.

    После того как вам потребуется SAML SSO для вашего предприятия и настройки сохранения SAML, пользователь установки продолжит иметь доступ к корпоративному серверу и останется вошёл в GitHub вместе с управляемые учетные записи пользователей настройками вашего IDP, который также будет иметь доступ к корпоративному делу.

13. Чтобы обеспечить доступ к вашей организации по-прежнему на GitHub, если ваш идентификатор недоступен в будущем, нажмите кнопку "Скачать ", " Печать" или "Копировать", чтобы сохранить код восстановления. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.

Включение подготовки

После включения единого входа SAML включите подготовку. Дополнительные сведения см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.

Включение гостевых участников совместной работы

Вы можете использовать роль гостевого сотрудника для предоставления ограниченного доступа поставщикам и подрядчикам в вашей организации. В отличие от участников предприятия, гостевые сотрудники имеют доступ только к внутренним репозиториям в организациях, где они являются членами.

Если вы используете идентификатор записи или Okta для проверки подлинности SAML, может потребоваться обновить приложение IdP для использования гостевых участников совместной работы. Дополнительные сведения см. в разделе Включение гостевых участников совместной работы.