Конфигурирование аутентификации и провизионирования с помощью Okta

Узнайте, как настроить Okta для связи с вашим предприятием.

Кто может использовать эту функцию?

Site administrators with admin access to the IdP

В этой статье

Сведения о подготовке с помощью Okta

Если вы используете Okta в качестве поставщика удостоверений, вы можете использовать приложение Okta для подготовки учетных записей пользователей, управления членством в организации и управления членством в группах для организаций в организации. Okta — это партнёрский IDP, поэтому вы можете упростить конфигурацию аутентификации и провизии, используя приложение управлять как SAML с одноразовым входом, так и SCIM-провизией на GitHub Enterprise Server.

Или, если вы планируете использовать только Okta для SAML-аутентификации и хотите использовать другой IDP для провизионирования, вы можете интегрироваться с GitHubREST API для SCIM. Дополнительные сведения см. в разделе Подготовка пользователей и групп с помощью SCIM с помощью REST API.

Поддерживаемые функции

GitHub Enterprise Server

поддерживает следующие функции провизии для Okta.

ВозможностьDescription
Отправка новых пользователейПользователи, назначенные приложению на Okta, автоматически создаются в Enterprise на .GitHub
Принудительные обновления профиляОбновления профиля пользователя в Okta будут отправляться на GitHub.
Отправка группГруппы в Okta, назначенные приложению в виде push-групп, автоматически создаются в предприятии на .GitHub
Принудительная деактивация пользователяУдаление назначения пользователя из приложения в Okta отключит пользователя на .GitHub Пользователь не сможет войти в систему, но его данные сохранятся.
Повторная активация пользователейПользователи в Okta, чьи аккаунты Okta были повторно активированы и назначены обратно в приложение Okta, будут активированы.

Необходимые компоненты

Общие требования для использования SCIM GitHub Enterprise Server применяются. См. раздел "Предварительные требования" в Настройка SCIM-предоставления пользователей Enterprise для управления пользователями.

Дополнительно:

  • Чтобы настроить SCIM, необходимо выполнить шаги 1–4 в Настройка SCIM-предоставления пользователей Enterprise для управления пользователями.

    • Для аутентификации запросов от Okta потребуется personal access token (classic) созданный для пользователя настройки.

  • Для проверки подлинности и подготовки необходимо использовать приложение Okta.

  • Продукт Okta должен поддерживать систему управления удостоверениями между доменами (SCIM). Дополнительные сведения см. в документации okta или обратитесь в службу поддержки Okta.

1. Настройка SAML

Перед началом работы с этим разделом убедитесь, что вы выполнили шаги 1 и 2 в Настройка SCIM-предоставления пользователей Enterprise для управления пользователями.

В Okta

  1. Перейдите в приложение GitHub Enterprise Server в Okta.

  2. Нажмите кнопку "Добавить интеграцию".

  3. В общих настройках для базового URL введите ваш GitHub Enterprise Server хост-URL (https://HOSTNAME.com).

  4. Перейдите на вкладку Вход.

  5. Убедитесь, что значение "Сведения о учетных данных" соответствует следующему.

    • "Формат имени пользователя приложения": okta username
    • "Обновить имя пользователя приложения в": создание и обновление
    • "Отображение пароля": деизбираемый

  6. В разделе "Сертификаты подписи SAML" скачайте сертификат , выбрав "Действия", а затем нажмите кнопку "Скачать сертификат".

  7. В правой части страницы щелкните Просмотреть инструкции по настройке SAML.

  8. Запишите URL-адрес входа и URL-адрес издателя.

На GitHub Enterprise Server

  1. Войдите ваш экземпляр GitHub Enterprise Server в систему как пользователь с доступом к консоли управления.
  2. Настройте SAML с помощью собранных сведений. См . раздел AUTOTITLE.

2. Настройка SCIM

После настройки параметров SAML можно продолжить настройку параметров подготовки.

Перед началом работы с этим разделом убедитесь, что вы выполнили шаги 1–4 в Настройка SCIM-предоставления пользователей Enterprise для управления пользователями.

  1. Перейдите к вашей GitHub Enterprise Managed User заявке на Okta.

  2. Перейдите на вкладку "Подготовка ".

  3. В меню настроек щелкните Интеграция.

  4. Чтобы внести изменения, щелкните Правка.

  5. Нажмите кнопку "Настройка интеграции API".

  6. В поле «API Token» введите personal access token (classic) принадлежащие пользователю.

    Примечание.

    "Импорт групп" не** поддерживается **GitHub. Выбор или отмена выбора флажка не влияет на конфигурацию.

  7. Нажмите Проверить учетные данные API. Если проверка выполнена успешно, в верхней части экрана появится проверочное сообщение.

  8. Чтобы сохранить маркер, щелкните Сохранить.

  9. В меню настроек щелкните Перейти к приложению.

  10. Чтобы разрешить внесение изменений, справа от пункта "Подготовка для приложения" щелкните Изменить.

  11. Выберите "Включить" справа от создания пользователей, обновления атрибутов пользователей и деактивации пользователей.

  12. Чтобы завершить настройку подготовки, щелкните Сохранить.

После завершения настройки SCIM может потребоваться отключить некоторые параметры SAML, которые вы включили для процесса настройки. См . раздел AUTOTITLE.

Разделы справки назначать пользователей и группы?

После настройки проверки подлинности и подготовки вы сможете подготовить новых пользователей на GitHub путем назначения пользователям или группам соответствующего приложения в idP.

Примечание.

Администратор сайта может включить ограничения частоты API для вашего экземпляра. При превышении этих пороговых значений попытки подготовки пользователей могут завершиться ошибкой, связанной с ограничением скорости. Журналы поставщика удостоверений можно проверить, не удалось ли выполнить подготовку SCIM или операции отправки из-за ошибки ограничения скорости. Ответ на неудачную попытку подготовки будет зависеть от поставщика удостоверений. Дополнительные сведения см. в разделе Устранение неполадок с управлением удостоверениями и доступом для предприятия.

Вы также можете автоматически управлять членством в организации, добавив группы на вкладку "Push Groups" в Okta. После успешной подготовки группы она будет доступна для подключения к командам в организациях предприятия. Дополнительные сведения об управлении командами см. в разделе Управление членством в группах поставщиков удостоверений.

При назначении пользователей можно использовать атрибут "Роли" в приложении в idP, чтобы задать роль пользователя в организации. Дополнительные сведения о ролях, доступных для назначения, см. в разделе Возможности ролей на предприятии.

Примечание.

Атрибут "Роли" можно задать только для отдельного пользователя, а не группы. Если вы хотите задать роли для всех участников группы, назначенной приложению в Okta, необходимо использовать атрибут "Роли" для каждого члена группы по отдельности.

Разделы справки отмена подготовки пользователей и групп?

Чтобы удалить пользователя или группу из GitHub, удалите пользователя или группу из вкладок «Assignments» и «Push groups» в Okta. При удалении пользователя убедитесь, что он удален из всех групп на вкладке "Отправка групп".