Configurar o GitHub Enterprise Server para logon único com o Microsoft Entra ID

Neste artigo, você aprenderá a integrar o GitHub Enterprise Server com o Microsoft Entra ID. Ao integrar o GitHub Enterprise Server com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao GitHub Enterprise Server.
• Permita que seus usuários entrem automaticamente no GitHub Enterprise Server com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

• Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
• GitHub Enterprise Server, pronto para inicialização.
• Junto com o Cloud Application Administrator, o Application Administrator também pode adicionar ou gerenciar aplicativos no Microsoft Entra ID. Para obter mais informações, consulte Funções incorporadas do Azure.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

• O GitHub Enterprise Server suporta SSO iniciado por SP e IDP .
• O GitHub Enterprise Server suporta o provisionamento de usuários Just In Time .
• O GitHub Enterprise Server suporta provisionamento automatizado de usuários.

Adicionar o GitHub Enterprise Server da galeria

Para configurar a integração do GitHub Enterprise Server no Microsoft Entra ID, você precisa adicionar o GitHub Enterprise Server da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um administrador de aplicações na nuvem.
2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
3. Na seção Adicionar da galeria , digite GitHub Enterprise Server na caixa de pesquisa.
4. Selecione GitHub Enterprise Server no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e percorrer a configuração do SSO também. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para o GitHub Enterprise Server

Configure e teste o Microsoft Entra SSO com o GitHub Enterprise Server usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no GitHub Enterprise Server.

Para configurar e testar o Microsoft Entra SSO com o GitHub Enterprise Server, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
   2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
2. Configure o SSO do GitHub Enterprise Server - para definir as configurações de logon único no lado do aplicativo.
   1. Criar usuário de teste do GitHub Enterprise Server - para ter um equivalente de B.Simon no GitHub Enterprise Server vinculado à representação de usuário do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um administrador de aplicações na nuvem.

2. Navegue até Entra ID>Enterprise apps>GitHub Enterprise Server>Single sign-on.

3. Na página Selecione um método de logon único , selecione SAML.

4. Na página Configurar início de sessão único com SAML, selecione o ícone de lápis para Configuração Básica de SAML para poder editar as definições.

   

5. Na seção Configuração Básica do SAML , se desejar configurar o aplicativo no modo iniciado pelo IDP , execute as seguintes etapas:

   a. Na caixa de texto Identificador (ID da entidade), digite uma URL usando o seguinte padrão: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>

   b) Na caixa de texto URL de resposta , digite uma URL usando o seguinte padrão: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/saml/consume

6. Selecione Definir URLs adicionais e execute a seguinte etapa se desejar configurar o aplicativo no modo iniciado pelo SP :

   Na caixa de texto URL de logon , digite uma URL usando o seguinte padrão: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/sso

   Observação

   Esses valores não são reais. Atualize esses valores com o Identificador real, URL de resposta e URL de logon. Entre em contato com a equipe de suporte do GitHub Enterprise Server Client para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML .

7. O aplicativo GitHub Enterprise Server espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à sua configuração de atributos de token SAML. A captura de tela a seguir mostra a lista de atributos padrão.

   

8. Editar atributos do usuário & declarações.

9. Selecione Adicionar nova declaração e digite o nome como administrator na caixa de texto (o valor diferencia maiúsculas administrator de minúsculas).

10. Expanda Condições de reivindicação e selecione Membros em Tipo de usuário.

11. Selecione Selecionar grupos e procure o Grupo que você deseja incluir essa declaração, onde seus membros devem ser administradores do GHES.

12. Selecione Atributo para Origem e insira true (sem aspas) para o Valor.

13. Selecione Guardar.

    

14. Na página Configurar logon único com SAML , na seção Certificado de Assinatura SAML , localize Certificado (Base64) e selecione Download para baixar o certificado e salvá-lo em seu computador.

    

15. Na seção Configurar o GitHub Enterprise Server , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do GitHub Enterprise Server

Para configurar o SSO no lado do GitHub Enterprise Server, você precisa seguir as instruções mencionadas aqui.

Criar usuário de teste do GitHub Enterprise Server

Nesta seção, um usuário chamado B.Simon é criado no GitHub Enterprise Server. O GitHub Enterprise Server oferece suporte ao provisionamento de usuários just-in-time, que é habilitado por padrão. Não há nenhum item de ação para você nesta seção. Se um usuário ainda não existir no GitHub Enterprise Server, um novo será criado após a autenticação.

O GitHub Enterprise Server também oferece suporte ao provisionamento automático de usuários. Você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuários.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

SP iniciado:

• Selecione Testar este aplicativo, essa opção redireciona para a URL de logon do GitHub Enterprise Server, onde você pode iniciar o fluxo de login.

• Vá diretamente para a URL de logon do GitHub Enterprise Server e inicie o fluxo de login a partir daí.

IDP iniciado:

• Selecione Testar este aplicativo e você deve estar automaticamente conectado ao GitHub Enterprise Server para o qual configurou o SSO.

Você também pode usar o Microsoft My Apps para testar o aplicativo em qualquer modo. Ao selecionar o bloco GitHub Enterprise Server em Meus Aplicativos, se configurado no modo SP, você será redirecionado para a página de logon do aplicativo para iniciar o fluxo de login e, se configurado no modo IDP, deverá ser automaticamente conectado ao GitHub Enterprise Server para o qual configurou o SSO. Para obter mais informações, consulte Microsoft Entra My Apps.

Conteúdo relacionado

• Configurando o provisionamento SCIM para gerenciar usuários.

• Depois de configurar o GitHub Enterprise Server, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.