О едином входе SAML для вашего предприятия
Единый вход SAML позволяет пользователям проходить проверку подлинности и получать доступ к данным ваш экземпляр GitHub Enterprise Server через внешнюю систему для управления удостоверениями.
SAML — это стандарт на основе XML для проверки подлинности и авторизации. При настройке SAML для ваш экземпляр GitHub Enterprise Serverвнешняя система для проверки подлинности называется поставщиком удостоверений (IdP). Ваш экземпляр выступает в качестве поставщика услуг SAML (SP). Дополнительные сведения о стандарте SAML см. в разделе Язык разметки заявлений системы безопасности в Википедии.
Примечание.
Можно использовать SAML или LDAP, но не оба.
При использовании SAML или CAS двухфакторная проверка подлинности не поддерживается или управляется экземпляром GitHub Enterprise Server, но может поддерживаться внешним поставщиком проверки подлинности. Двухфакторная проверка подлинности в организациях недоступна. Дополнительные сведения о применении двухфакторной проверки подлинности в организациях см. в разделе Обязательная двухфакторная проверка подлинности в вашей организации.
После настройки SAML пользователи, использующие ваш экземпляр GitHub Enterprise Server, должны использовать personal access token для проверки подлинности запросов API. Дополнительные сведения см. в разделе Управление личными маркерами доступа.
Если вы хотите разрешить проверку подлинности для некоторых пользователей, у которых нет учетной записи во внешнем поставщике проверки подлинности, вы можете разрешить резервную проверку подлинности локальным учетным записям на ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Разрешение встроенной проверки подлинности для пользователей за пределами поставщика.
Дополнительные сведения о настройке единого входа SAML на GitHubсм. в разделе Настройка единого входа SAML для предприятия.
О создании учетных записей пользователей
Дополнительные сведения см. в разделе О пользовательском провизионировании с помощью SCIM на GitHub Enterprise Server.
При подготовке JIT при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя на ваш экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе Приостановка и возобновление работы пользователей.
Поддерживаемые поставщики удостоверений
GitHub поддерживает единый вход SAML с поставщиками удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.
GitHub официально поддерживает и внутренне проверяет следующие поставщики удостоверений для SAML. Дополнительные сведения о поставщиках удостоверений, поддерживаемых SCIM для GitHub Enterprise Server, см. в разделе О пользовательском провизионировании с помощью SCIM на GitHub Enterprise Server.
- Microsoft службы федерации Active Directory (AD FS) (AD FS)
- Идентификатор Microsoft Entra (ранее известный как Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Если ваш idP поддерживает зашифрованные утверждения, можно настроить зашифрованные утверждения на GitHub Enterprise Server для повышения безопасности во время процесса проверки подлинности.
GitHub не поддерживает единый выход SAML. Чтобы завершить активный сеанс SAML, пользователи должны выполнить выход непосредственно в поставщике удостоверений SAML.
Дополнительные материалы
-
[AUTOTITLE](/admin/identity-and-access-management/using-saml-for-enterprise-iam) -
[Вики-сайт SAML](https://wiki.oasis-open.org/security) на веб-сайте OASIS -
[Система для управления удостоверениями между доменами: протокол (RFC 7644)](https://tools.ietf.org/html/rfc7644) на веб-сайте IETF