Настройка единого входа SAML для предприятия

Вы можете контролировать и защитить доступ к ресурсам ваш экземпляр GitHub Enterprise Server по configuringSAML single sign-on (SSO) через поставщик удостоверений (IdP).

Кто может использовать эту функцию?

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

В этой статье

Сведения о едином входе SAML

Единый вход SAML позволяет централизованно контролировать и защищать доступ к ваш экземпляр GitHub Enterprise Server из поставщика удостоверений SAML.

Если пользователь, не прошедший проверку подлинности, пытается войти в ваш экземпляр GitHub Enterprise Server и отключена встроенная проверка подлинности, GitHub перенаправляет пользователя на идентификатор SAML для проверки подлинности. После успешной проверки подлинности пользователя с учетной записью поставщика удостоверений идентификатор перенаправляет пользователя обратно в ваш экземпляр GitHub Enterprise Server. GitHub проверяет ответ от поставщика удостоверений, а затем предоставляет пользователю доступ. Сеанс SAML пользователя активен в браузере в течение 24 часов. После этого пользователь должен снова пройти проверку подлинности с помощью поставщика удостоверений.

При подготовке JIT при удалении пользователя из поставщика удостоверений необходимо также вручную приостановить учетную запись пользователя на ваш экземпляр GitHub Enterprise Server. В противном случае владелец учетной записи может продолжать выполнять проверку подлинности с помощью маркеров доступа или ключей SSH. Дополнительные сведения см. в разделе Приостановка и возобновление работы пользователей.

Поддерживаемые поставщики удостоверений

GitHub поддерживает единый вход SAML с поставщиками удостоверений, реализующих стандарт SAML 2.0. Дополнительные сведения см. на вики-странице по SAML на веб-сайте OASIS.

GitHub официально поддерживает и внутренне проверяет следующие поставщики удостоверений для SAML. Дополнительные сведения о поставщиках удостоверений, поддерживаемых SCIM для GitHub Enterprise Server, см. в разделе О пользовательском провизионировании с помощью SCIM на GitHub Enterprise Server.

  • Microsoft службы федерации Active Directory (AD FS) (AD FS)
  • Идентификатор Microsoft Entra (ранее известный как Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Для получения дополнительной информации о подключении Entra ID к вашему предприятию смотрите Tutorial: Microsoft Entra интеграция SSO с GitHub Enterprise Server в Microsoft Docs году.

У нас нет поддерживаемого партнёрского приложения при использовании Entra ID для Azure Government.

Рекомендации по использованию имен пользователей в SAML

GitHub нормализует значение от external authentication provider для определения имени пользователя для каждого нового личная учетная запись на ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.

Настройка единого входа SAML

Вы можете включить или отключить проверку подлинности SAML для ваш экземпляр GitHub Enterprise Serverили изменить существующую конфигурацию. Параметры проверки подлинности можно просматривать и изменять в Консоль управления. Дополнительные сведения см. в разделе Администрирование экземпляра из веб-интерфейса.

Примечание.

GitHub настоятельно рекомендует проверять все новые конфигурации проверки подлинности в промежуточной среде. Неправильная конфигурация может привести к простою для ваш экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Настройка промежуточного экземпляра.

  1. В учетной записи администратора GitHub Enterprise Server, в правом верхнем углу любой страницы щелкните .

  2. Если вы еще не на странице "Администратор сайта", в левом верхнем углу щелкните Администратор сайта.

  3. На боковой панели " "Администратор сайта" щелкните Консоль управления.

  4. На боковой панели "Параметры" щелкните "Проверка подлинности".

  5. В разделе "Проверка подлинности" выберите SAML.

  6. При необходимости для того, чтобы разрешить пользователям без учетной записи во внешней системе проверки подлинности вход с помощью встроенной проверки подлинности, выберите Разрешить встроенную проверку подлинности. Дополнительные сведения см. в разделе Разрешение встроенной проверки подлинности для пользователей за пределами поставщика.

  7. При необходимости, чтобы включить единый вход без запроса, выберите Единый вход, инициированный поставщиком удостоверений. По умолчанию GitHub Enterprise Server отвечает на назапрашиваемый запрос поставщика удостоверений (IdP) с сообщением AuthnRequest обратно поставщику удостоверений.

    Совет

    Рекомендуется сохранить это значение без выбора. Эту функцию следует включать только в редких случаях, когда реализация SAML не поддерживает единый вход, инициированный поставщиком услуг, и когда это рекомендует Поддержка GitHub Enterprise.

  8. При необходимости, если поставщик SAML не хочет определить права администратора для пользователей на ваш экземпляр GitHub Enterprise Server, выберите отключить понижение или повышение прав администратора.

  9. При необходимости, чтобы разрешить ваш экземпляр GitHub Enterprise Server получать зашифрованные утверждения из поставщика удостоверений SAML, выберите "Требовать зашифрованные утверждения".

    Необходимо убедиться, что поставщик удостоверений поддерживает зашифрованные утверждения и что методы шифрования и передачи ключей в консоли управления соответствуют значениям, настроенным для поставщика удостоверений. Кроме того, необходимо предоставить общедоступный сертификат %% данных variables.location.product_location %}для поставщика удостоверений. Дополнительные сведения см. в разделе Включение зашифрованных утверждений.

  10. В поле URL-адреса единого входа введите конечную точку HTTP или HTTPS поставщика удостоверений для запросов единого входа. Это значение предоставляется конфигурацией поставщика удостоверений. Если узел доступен только из внутренней сети, может потребоваться настроить ваш экземпляр GitHub Enterprise Server для использования внутренних серверов имен.

  11. При необходимости в поле Издатель введите имя издателя SAML. Это проверяет подлинность сообщений, отправленных в ваш экземпляр GitHub Enterprise Server.

  12.        **Выберите раскрывающиеся меню метода** подписи и **метода** дайджеста, а затем щелкните алгоритм хэширования, используемый издателем SAML, чтобы проверить целостность запросов из ваш экземпляр GitHub Enterprise Server.

  13.        **Выберите раскрывающееся меню "Формат** идентификатора имени", а затем выберите формат.

  14. В разделе "Сертификат проверки" нажмите кнопку "Выбрать файл", а затем выберите сертификат, чтобы проверить ответы SAML из поставщика удостоверений.

    Примечание.

    GitHub не применяет срок действия этого сертификата поставщика удостоверений SAML. Это означает, что даже если срок действия этого сертификата истекает, проверка подлинности SAML продолжит работать. Однако если администратор поставщика удостоверений повторно создает сертификат SAML, и вы не обновляете его на стороне GitHub , пользователи столкнутся с ошибкой digest mismatch во время попыток проверки подлинности SAML из-за несоответствия сертификата. См . ошибку: несоответствие дайджеста.

  15. В разделе "Атрибуты пользователя" измените имена атрибутов SAML в соответствии с идентификатором поставщика удостоверений при необходимости или примите имена по умолчанию.

Дополнительные материалы