Configurar o GitHub Enterprise Server para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar o GitHub Enterprise Server à ID do Microsoft Entra. Ao integrar o GitHub Enterprise Server à ID do Microsoft Entra, você pode:

• Controlar na ID do Microsoft Entra quem tem acesso ao GitHub Enterprise Server.
• Permitir que os usuários sejam conectados automaticamente ao GitHub Enterprise Server com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

• Uma assinatura do Microsoft Entra. Se você não tiver uma assinatura, poderá obter uma conta gratuita.
• GitHub Enterprise Server, pronto para inicialização.
• Junto com o Administrador de Aplicativos na Nuvem, o Administrador de Aplicativos também pode adicionar ou gerenciar aplicativos na ID do Microsoft Entra. Para obter mais informações, veja Funções internas do Azure.

Descrição do cenário

Neste artigo, você configurará e testará o SSO do Microsoft Entra em um ambiente de teste.

• O GitHub Enterprise Server dá suporte ao SP e ao SSO iniciado por IDP .
• O GitHub Enterprise Server dá suporte ao provisionamento de usuário just-in-time .
• O GitHub Enterprise Server dá suporte ao provisionamento automatizado de usuários.

Adicionar o GitHub Enterprise Server por meio da galeria

Para configurar a integração do GitHub Enterprise Server à ID do Microsoft Entra, você precisa adicionar o GitHub Enterprise Server da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.
2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
3. Na seção Adicionar por meio da galeria , digite GitHub Enterprise Server na caixa de pesquisa.
4. Selecione o GitHub Enterprise Server no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o GitHub Enterprise Server

Configure e teste o SSO do Microsoft Entra com o GitHub Enterprise Server usando um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do GitHub Enterprise Server.

Para configurar e testar o SSO do Microsoft Entra com o GitHub Enterprise Server, execute as seguintes etapas:

1. Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Simon.
   2. Atribua o usuário de teste do Microsoft Entra para permitir que B.Simon use o logon único do Microsoft Entra.
2. Configure o SSO do GitHub Enterprise Server para definir as configurações de logon único no lado do aplicativo.
   1. Crie um usuário de teste do GitHub Enterprise Server para ter um equivalente de B.Fernandes no GitHub Enterprise Server que esteja vinculado à representação do usuário do Microsoft Entra.
3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de Nuvem.

2. Navegue atéos aplicativos>Do Entra ID> Enterprisedo GitHub Enterprise Server>Logon único.

3. Na página Selecionar um método de logon único , selecione SAML.

4. Na página Configurar login único com SAML, selecione o ícone de lápis de Configuração Básica SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML , se você quiser configurar o aplicativo no modo iniciado pelo IDP , execute as seguintes etapas:

   a. Na caixa de texto Identificador (ID da Entidade), digite uma URL usando o seguinte padrão: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>

   b. Na caixa de texto URL de Resposta , digite uma URL usando o seguinte padrão: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/saml/consume

6. Selecione Definir URLs adicionais e execute a seguinte etapa se desejar configurar o aplicativo no modo iniciado por SP :

   Na caixa de texto URL de Logon , digite uma URL usando o seguinte padrão: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/sso

   Observação

   Esses valores não são reais. Atualize esses valores com o Identificador real, a URL de Resposta e a URL de Logon. Entre em contato com a equipe de suporte ao cliente do GitHub Enterprise Server para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML .

7. O aplicativo GitHub Enterprise Server espera as declarações SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados à configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

   

8. Editar atributos de usuário e declarações.

9. Selecione Adicionar nova declaração e insira o nome como administrator na caixa de texto (o administrator valor diferencia maiúsculas de minúsculas).

10. Expanda as condições de Declaração e selecione Membros do Tipo de Usuário.

11. Selecione Selecionar grupos e pesquise o Grupo que você deseja incluir essa declaração, em que seus membros devem ser administradores do GHES.

12. Selecione Atributo para Origem e insira true (sem aspas) para o Valor.

13. Clique em Salvar.

    

14. Na página Configurar logon único com SAML , na seção Certificado de Autenticação SAML , localize o Certificado (Base64) e selecione Baixar para baixar o certificado e salvá-lo no computador.

    

15. Na seção Configurar o GitHub Enterprise Server , copie as URLs apropriadas de acordo com suas necessidades.

    

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do GitHub Enterprise Server

Para configurar o SSO no lado do GitHub Enterprise Server, você precisa seguir as instruções mencionadas aqui.

Criar um usuário de teste do GitHub Enterprise Server

Nesta seção, um usuário chamado B.Fernandes é criado no GitHub Enterprise Server. O GitHub Enterprise Server dá suporte ao provisionamento de usuário just-in-time, que está habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no GitHub Enterprise Server, um novo será criado após a autenticação.

O GitHub Enterprise Server também dá suporte ao provisionamento automático de usuário. Você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuário.

Teste de SSO

Nesta seção, você testará sua configuração de logon único do Microsoft Entra com as seguintes opções.

SP iniciado:

• Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do GitHub Enterprise Server, na qual você pode iniciar o fluxo de logon.

• Acesse diretamente a URL de Logon do GitHub Enterprise Server e inicie o fluxo de logon nela.

IDP iniciado:

• Selecione Testar este aplicativo e você deverá ser conectado automaticamente ao GitHub Enterprise Server para o qual configurou o SSO.

Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Ao selecionar o bloco do GitHub Enterprise Server em Meus Aplicativos, se ele estiver configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de logon e, se ele estiver configurado no modo IDP, você será conectado automaticamente ao GitHub Enterprise Server para o qual configurou o SSO. Para obter mais informações, consulte Microsoft Entra My Apps.

Conteúdo relacionado

• Configurando o provisionamento scim para gerenciar usuários.

• Depois de configurar o GitHub Enterprise Server, você poderá impor o controle de sessão, que protege contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão se estende a partir do Acesso Condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.