Konfigurowanie serwera GitHub Enterprise Server na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować serwer GitHub Enterprise Server z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu serwera GitHub Enterprise Server z usługą Microsoft Entra ID można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do serwera GitHub Enterprise Server.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do serwera GitHub Enterprise Server przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

• Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto .
• GitHub Enterprise Server, gotowy do inicjowania.
• Wraz z administratorem aplikacji w chmurze administrator aplikacji może również dodawać aplikacje lub zarządzać nimi w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Wbudowane role platformy Azure.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

• Usługa GitHub Enterprise Server obsługuje logowanie jednokrotne inicjowane przez dostawcę usług i dostawcę tożsamości .
• Usługa GitHub Enterprise Server obsługuje aprowizowanie użytkowników just in time .
• Usługa GitHub Enterprise Server obsługuje automatyczną aprowizację użytkowników.

Dodawanie serwera GitHub Enterprise Server z galerii

Aby skonfigurować integrację serwera GitHub Enterprise Server z identyfikatorem Entra firmy Microsoft, należy dodać serwer GitHub Enterprise Server z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.
2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
3. W sekcji Dodawanie z galerii wpisz GitHub Enterprise Server w polu wyszukiwania.
4. Wybierz pozycję GitHub Enterprise Server z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund, aż aplikacja zostanie dodana do Twojego konta.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role i przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego microsoft Entra dla serwera GitHub Enterprise Server

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z usługą GitHub Enterprise Server przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w usłudze GitHub Enterprise Server.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w usłudze GitHub Enterprise Server, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra logowanie jednokrotne — aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z B.Simon.
   2. Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania Microsoft Entra.
2. Skonfiguruj logowanie jednokrotne usługi GitHub Enterprise Server — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
   1. Tworzenie użytkownika testowego serwera GitHub Enterprise Server — aby mieć w usłudze GitHub Enterprise Server odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. Testowanie SSO — aby zweryfikować, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

2. Przejdź do witryny Entra ID>Enterprise Apps> GitHub Enterprise ServerSingle sign-on (Logowanie jednokrotne w usłudze>).

3. Na stronie Wybierz metodę logowania jednokrotnego wybierz SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. Jeśli chcesz skonfigurować aplikację w trybie inicjowany przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

   a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, korzystając z następującego wzorca: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>

   b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/saml/consume

6. Wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie zainicjowanym przez dostawcę usług :

   W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/sso

   Uwaga / Notatka

   Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta serwera GitHub Enterprise Server . Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML .

7. Aplikacja GitHub Enterprise Server oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

   

8. Edytuj atrybuty użytkownika i oświadczenia.

9. Wybierz pozycję Dodaj nowe oświadczenie i wprowadź nazwę, tak jak administrator w polu tekstowym ( administrator wartość jest rozróżniana wielkość liter).

10. Rozwiń węzeł Warunki oświadczenia i wybierz pozycję Członkowie w polu Typ użytkownika.

11. Wybierz pozycję Wybierz grupy i wyszukaj grupę , do której chcesz dołączyć to oświadczenie, gdzie jego członkowie powinni być administratorami ghES.

12. Wybierz pozycję Atrybut jako Źródło i wprowadź true wartość (bez cudzysłowów).

13. Wybierz Zapisz.

    

14. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz , aby pobrać certyfikat i zapisać go na komputerze.

    

15. W sekcji Konfigurowanie serwera GitHub Enterprise Server skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie logowania jednokrotnego serwera GitHub Enterprise Server

Aby skonfigurować logowanie jednokrotne po stronie serwera GitHub Enterprise Server, należy postępować zgodnie z instrukcjami wymienionymi tutaj.

Tworzenie użytkownika testowego serwera GitHub Enterprise Server

W tej sekcji w usłudze GitHub Enterprise Server jest tworzony użytkownik o nazwie B.Simon. Usługa GitHub Enterprise Server obsługuje aprowizację użytkowników typu just in time, która jest domyślnie włączona. W tej sekcji nie ma elementu akcji. Jeśli użytkownik jeszcze nie istnieje w usłudze GitHub Enterprise Server, zostanie utworzony po uwierzytelnieniu.

Usługa GitHub Enterprise Server obsługuje również automatyczną aprowizację użytkowników. Więcej szczegółów można znaleźć tutaj , aby dowiedzieć się, jak skonfigurować automatyczną aprowizację użytkowników.

Testowanie SSO

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra za pomocą następujących opcji.

Inicjowane przez dostawcę usług:

• Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania serwera GitHub Enterprise Server, pod którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania do serwera GitHub Enterprise i zainicjuj przepływ logowania z tego miejsca.

Inicjowane przez dostawcę tożsamości:

• Wybierz pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do serwera GitHub Enterprise Server, dla którego skonfigurowano logowanie jednokrotne.

Możesz również użyć aplikacji Microsoft My Apps do przetestowania aplikacji w dowolnym trybie. Po wybraniu kafelka GitHub Enterprise Server w obszarze Moje aplikacje, jeśli skonfigurowano go w trybie SP, nastąpi przekierowanie do strony logowania do aplikacji w celu zainicjowania przepływu logowania i skonfigurowania w trybie dostawcy tożsamości powinno nastąpić automatyczne zalogowanie do serwera GitHub Enterprise Server, dla którego skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji, zobacz Microsoft Entra My Apps.

Treści powiązane

• Konfigurowanie aprowizacji SCIM na potrzeby zarządzania użytkownikami.

• Po skonfigurowaniu serwera GitHub Enterprise Server można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.