Udostępnij przez

Konfigurowanie usługi GitHub Enterprise Cloud — konto przedsiębiorstwa na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak skonfigurować integrację SAML Microsoft Entra z GitHub Enterprise Cloud na koncie Enterprise. Po zintegrowaniu usługi GitHub Enterprise Cloud — konto enterprise z identyfikatorem Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do konta GitHub Enterprise i dowolnych organizacji w ramach tego konta.

Warunki wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Konto GitHub Enterprise .
  • Konto użytkownika usługi GitHub, które jest właścicielem konta przedsiębiorstwa.

Opis scenariusza

W tym artykule skonfigurujesz integrację SAML dla konta przedsiębiorstwa GitHub oraz przetestujesz uwierzytelnianie i dostęp właściciela konta oraz członka organizacji/przedsiębiorstwa.

Notatka

Aplikacja GitHub Enterprise Cloud - Enterprise Account nie obsługuje włączania automatycznej aprowizacji SCIM. Jeśli musisz skonfigurować zarządzanie dostępem dla środowiska GitHub Enterprise Cloud, protokół SAML musi być ustawiony na poziomie organizacji, a do tego celu należy użyć aplikacji Microsoft Entra GitHub Enterprise Cloud - Organization. Jeśli konfigurujesz integrację aprowizacji SAML i SCIM dla przedsiębiorstwa, które jest włączone dla użytkowników zarządzanych przez przedsiębiorstwa (EMU), musisz użyć GitHub Enterprise Managed User aplikacji Microsoft Entra na potrzeby integracji SAML/Provisioning lub GitHub Enterprise Managed User (OIDC) aplikacji Microsoft Entra na potrzeby integracji OIDC/Provisioning.

  • GitHub Enterprise Cloud — Konto Przedsiębiorstwa obsługuje logowanie jednokrotne inicjowane przez SP i IDP .

Dodawanie GitHub Enterprise Cloud — Konto Enterprise z galerii

Aby skonfigurować integrację aplikacji GitHub Enterprise Cloud — Enterprise Account z identyfikatorem Microsoft Entra ID, musisz dodać usługę GitHub Enterprise Cloud — konto Enterprise z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodaj z galerii wpisz GitHub Enterprise Cloud — konto przedsiębiorstwa w polu wyszukiwania.
  4. Wybierz pozycję GitHub Enterprise Cloud — konto przedsiębiorstwa z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, podczas gdy aplikacja jest dodawana do Twojej dzierżawy.

Alternatywnie możesz użyć Kreatora konfiguracji aplikacji Enterprise . W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie Microsoft Entra logowania jednokrotnego (SSO) dla usługi GitHub Enterprise Cloud - konto firmowe

Konfiguracja i testowanie funkcji logowania jednokrotnego (SSO) Microsoft Entra dla usługi GitHub Enterprise Cloud — konto Enterprise przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w usłudze GitHub Enterprise Cloud – Enterprise Account.

Aby skonfigurować i przetestować Microsoft Entra SSO z usługą GitHub Enterprise Cloud — Konto Enterprise, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne Microsoft Entra, aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz testowego użytkownika Microsoft Entra — aby przetestować jednokrotne logowanie Microsoft Entra z B.Simonem.
    2. Przypisz użytkownika Microsoft Entra i konto użytkownika testowego do aplikacji GitHub - aby umożliwić korzystanie z logowania jednokrotnego Microsoft Entra przez konto użytkownika i użytkownika testowego B.Simon.
  2. Włączanie i testowanie protokołu SAML dla konta przedsiębiorstwa i jego organizacji — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Testowanie SSO z innym właścicielem konta przedsiębiorstwa lub kontem członkowskim organizacji — aby sprawdzić, czy konfiguracja działa.

Skonfiguruj Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć jednokrotne logowanie Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>aplikacji biznesowych>GitHub Enterprise Cloud – konto przedsiębiorstwa>logowanie jednokrotne.

  3. Na stronie Wybierz metodę logowania jednokrotnego wybierz opcję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

    edytowanie podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, korzystając z następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

  6. Wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie SP zainicjowanym:

    W polu tekstowym Zaloguj się na adres URL, wpisz adres URL, korzystając z następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

    Notatka

    Zastąp <ENTERPRISE-SLUG> rzeczywistą nazwą konta przedsiębiorstwa usługi GitHub.

  7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML, w sekcji Certyfikat podpisywania SAML, znajdź certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    link pobierania certyfikatu

  8. W sekcji Konfigurowanie usługi GitHub Enterprise Cloud — konto przedsiębiorstwa skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Skopiuj adresy URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego w witrynie Azure Portal o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator użytkowników.
  2. Przejdź do pozycji Entra ID>Użytkownicy.
  3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownikaw górnej części ekranu.
  4. We właściwościach User wykonaj następujące kroki:
    1. W polu nazwa wyświetlana wprowadź B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Hasło.
    4. Wybierz Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisz swojego użytkownika Microsoft Entra i konto użytkownika testowego do aplikacji GitHub

W tej sekcji włączysz B.Simon i konto użytkownika do korzystania z logowania jednokrotnego platformy Azure, udzielając dostępu do konta GitHub Enterprise Cloud — Enterprise Account.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
  2. Przejdź do witryny Entra ID>Enterprise Apps>GitHub Enterprise Cloud — konto przedsiębiorstwa.
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy .
  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania.
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon i konto użytkownika z listy Użytkownicy, a następnie wybierz przycisk Wybierz w dolnej części ekranu.
  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz ją wybrać z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
  7. W oknie dialogowym Dodaj zadanie wybierz przycisk Przypisz zadanie.

Włączanie i testowanie protokołu SAML dla konta przedsiębiorstwa i jego organizacji

Aby skonfigurować logowanie jednokrotne po stronie GitHub Enterprise Cloud dla konta przedsiębiorstwa, wykonaj kroki wymienione w tej dokumentacji GitHub.

  1. Zaloguj się do GitHub.com przy użyciu konta użytkownika, który jest właścicielem konta przedsiębiorstwa.
  2. Skopiuj wartość z pola Login URL w aplikacji i wklej ją w polu Sign on URL w ustawieniach SAML konta GitHub Enterprise.
  3. Skopiuj wartość z pola Azure AD Identifier w aplikacji i wklej ją w polu Issuer w ustawieniach SAML konta GitHub Enterprise.
  4. Skopiuj zawartość certyfikatu (Base64) z pliku pobranego w powyższych krokach z portalu Azure i wklej je w odpowiednim polu w ustawieniach SAML konta GitHub Enterprise.
  5. Wybierz Test SAML configuration i upewnij się, że możesz pomyślnie uwierzytelnić się z konta GitHub Enterprise do Microsoft Entra ID.
  6. Po pomyślnym zakończeniu testu zapisz ustawienia.
  7. Po pierwszym uwierzytelnieniu za pośrednictwem protokołu SAML z konta przedsiębiorstwa GitHub, na koncie przedsiębiorstwa GitHub zostanie utworzona połączona tożsamość zewnętrzna, która kojarzy zalogowane konto użytkownika GitHub z kontem użytkownika Microsoft Entra.

Po włączeniu logowania jednokrotnego SAML dla konta usługi GitHub Enterprise logowanie jednokrotne SAML jest domyślnie włączone dla wszystkich organizacji należących do konta przedsiębiorstwa. Wszyscy członkowie są zobowiązani do uwierzytelniania przy użyciu logowania jednokrotnego SAML w celu uzyskania dostępu do organizacji, w których są członkami, a właściciele przedsiębiorstwa muszą uwierzytelniać się przy użyciu logowania jednokrotnego SAML podczas uzyskiwania dostępu do konta przedsiębiorstwa.

Testowanie SSO przy użyciu innego konta właściciela przedsiębiorstwa lub konta członka organizacji

Po skonfigurowaniu integracji protokołu SAML dla konta GitHub z poziomu przedsiębiorstwa (co dotyczy również organizacji GitHub w ramach tego konta), inni właściciele kont przedsiębiorstwa przypisani do aplikacji w Microsoft Entra ID powinni być w stanie przejść do adresu URL konta GitHub z poziomu przedsiębiorstwa (https://github.com/enterprises/<enterprise account>), uwierzytelnić się za pomocą protokołu SAML i uzyskać dostęp do zasad i ustawień dostępnych na tym koncie.

Właściciel organizacji w ramach konta przedsiębiorstwa powinien mieć możliwość zaproszenia użytkownika do dołączenia do swojej organizacji na GitHubie. Zaloguj się do GitHub.com przy użyciu konta właściciela organizacji i wykonaj kroki opisane w artykule, aby zaprosić B.Simon do organizacji. Jeśli konto użytkownika usługi GitHub jeszcze nie istnieje, należy utworzyć je dla B.Simon.

Aby przetestować dostęp do organizacji GitHub w ramach konta Przedsiębiorstwa z użyciem konta testowego użytkownika B.Simon:

  1. Zaproś B.Simon do organizacji w ramach konta typu Enterprise jako właściciela organizacji.
  2. Zaloguj się do GitHub.com przy użyciu konta użytkownika, które chcesz połączyć z kontem użytkownika B.Simon Microsoft Entra.
  3. Zaloguj się do usługi Microsoft Entra ID przy użyciu konta użytkownika B.Simon.
  4. Przejdź do organizacji GitHub. Użytkownik powinien zostać poproszony o uwierzytelnienie za pośrednictwem protokołu SAML. Po pomyślnym uwierzytelnieniu SAML B.Simon powinien mieć dostęp do zasobów organizacji.

Powiązana zawartość

Po skonfigurowaniu usługi GitHub Enterprise Cloud — konto przedsiębiorstwa można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.

  • Last updated on