Sdílet prostřednictvím

Konfigurace cloudové organizace GitHub Enterprise pro jednotné přihlašování pomocí Microsoft Entra ID

V tomto článku se dozvíte, jak integrovat cloudovou organizaci GitHub Enterprise s Microsoft Entra ID. Když integrujete organizaci cloudu GitHub Enterprise s ID Microsoft Entra, můžete:

  • Ovládání toho, kdo má přístup k vaší organizaci GitHub Enterprise Cloud prostřednictvím Microsoft Entra ID.
  • Spravujte přístup ke cloudové organizaci GitHub Enterprise v jednom centrálním umístění.

Požadavky

Scénář popsaný v tomto článku předpokládá, že již máte následující požadavky:

Popis scénáře

V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

Pokud chcete nakonfigurovat integraci GitHubu do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat GitHub z galerie.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Prohlédněte si Entra ID>Podnikové aplikace>Nová aplikace.
  3. V části Přidat z galerie zadejte GitHub do vyhledávacího pole.
  4. Vyberte GitHub Enterprise Cloud – Organizace na panelu výsledků a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro GitHub

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s GitHubem pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem na GitHubu.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra pomocí GitHubu, proveďte následující kroky:

  1. Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
    1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
    2. Přiřadit testovacího uživatele Microsoft Entra - aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
  2. Konfigurace jednotného přihlašování GitHubu – konfigurace nastavení jednotného přihlašování na straně aplikace
    1. Vytvořte testovacího uživatele na GitHubu – aby na GitHubu měl B.Simon protějšek, který je propojen s reprezentací uživatele Microsoft Entra.
  3. Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujte tyto kroky, abyste mohli povolit Microsoft Entra SSO.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

  2. Projděte na Entra ID>Podnikové aplikace>GitHub>Jednotné přihlášení.

  3. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.

  4. Na stránce Nastavení jednotného přihlašování pomocí SAML vyberte ikonu tužky pro Základní konfiguraci SAML a upravte nastavení.

    Upravit základní konfiguraci SAML

  5. V části Základní konfigurace SAML zadejte hodnoty pro následující pole:

    a. Do textového pole Identifikátor (ID entity) zadejte adresu URL pomocí následujícího vzoru: https://github.com/orgs/<Organization ID>

    b) Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://github.com/orgs/<Organization ID>/saml/consume

    c) Do textového pole Přihlásit se na adresu URL zadejte adresu URL pomocí následujícího vzoru: https://github.com/orgs/<Organization ID>/sso

    Poznámka:

    Mějte na paměti, že se nejedná o skutečné hodnoty. Tyto hodnoty musíte aktualizovat na skutečný identifikátor, adresu URL odpovědi a přihlašovací adresu URL. Tady doporučujeme použít jedinečnou hodnotu řetězce v identifikátoru. Pokud chcete tyto hodnoty načíst, přejděte do části Správce GitHubu.

  6. Aplikace GitHub očekává aserce SAML v určitém formátu, což vyžaduje, abyste do konfiguraci atributů SAML tokenu přidali mapování vlastních atributů. Následující snímek obrazovky ukazuje seznam výchozích atributů, zatímco jedinečný identifikátor uživatele (ID jména) je mapován na user.userprincipalname. Aplikace GitHubu očekává, že se namapuje jedinečný identifikátor uživatele (ID jména) na user.mail, takže potřebujete upravit mapování atributů tak, že vyberete ikonu Upravit a změníte mapování atributů.

    Snímek obrazovky znázorňující oddíl Atributy uživatele s vybranou ikonou Upravit

  7. Na stránce Nastavit jednotné přihlášení se SAML v části Podpisový certifikát SAML vyberte Stáhnout a stáhněte certifikát (Base64) z daných možností podle vašeho požadavku a uložte ho do počítače.

    Odkaz ke stažení certifikátu

  8. V části Nastavení GitHubu zkopírujte odpovídající adresy URL podle vašeho požadavku.

    Kopírování konfiguračních adres URL

Vytvoření a přiřazení testovacího uživatele Microsoft Entra

Postupujte podle pokynů v rychlém startu pro vytvoření a přiřazení uživatelského účtu a vytvořte testovací uživatelský účet S názvem B.Simon.

Konfigurace jednotného přihlašování GitHubu

  1. V jiném okně webového prohlížeče se přihlaste k webu organizace GitHub jako správce.

  2. Přejděte do Nastavení a vyberte Zabezpečení.

    Snímek obrazovky znázorňující nabídku Nastavení organizace Na GitHubu s vybranou možností Zabezpečení

  3. Zaškrtněte políčko Povolit ověřování SAML, zobrazte konfigurační pole jednotného přihlašování a proveďte následující kroky:

    Snímek obrazovky, který zobrazuje část

    a. Zkopírujte hodnotu jednotného přihlašování URL a vložte tuto hodnotu do textového pole Sign on URL v Základní konfiguraci SAML.

    b) Zkopírujte hodnotu adresy URL služby příjemce bezpečnostního tvrzení a vložte ji do textového pole Adresa URL odpovědi v základní konfiguraci SAML.

  4. Nakonfigurujte následující pole:

    Snímek obrazovky, který zobrazuje textová pole Sign on URL (Přihlašovací adresa URL), Issuer (Vystavitel) a Public certificate (Veřejný certifikát).

    a. V textovém poli Sign on URL vložte hodnotu Přihlašovací adresa URL, kterou jste zkopírovali dříve.

    b) Do textového pole Vystavitel vložte hodnotu identifikátoru Microsoft Entra , kterou jste zkopírovali dříve.

    c) Otevřete stažený certifikát z webu Azure Portal v poznámkovém bloku a vložte obsah do textového pole Veřejný certifikát .

    d. Výběrem ikony Upravit upravte metodu podpisu a metodu digest z RSA-SHA1 a SHA1 na RSA-SHA256 a SHA256, jak je znázorněno níže.

    e. Aktualizujte adresu URL služby pro příjemce tvrzení (adresa URL odpovědi) z výchozí adresy URL, aby se adresa URL v GitHubu shodovala s adresou URL v registraci aplikace Azure.

    Snímek obrazovky znázorňující obrázek

  5. Výběrem testu konfigurace SAML potvrďte, že při jednotném přihlášení nedošlo k žádným chybám při ověřování nebo ke selhání.

    Snímek obrazovky znázorňující nastavení

  6. Zvolte Uložit.

Poznámka:

Jednotné přihlašování na GitHubu se ověřuje v konkrétní organizaci na GitHubu a nenahrazuje ověřování samotného GitHubu. Proto pokud vypršela platnost relace github.com uživatele, můžete být během procesu jednotného přihlašování požádáni o ověření pomocí ID a hesla GitHubu.

Vytvoření testovacího uživatele GitHubu

Cílem této části je vytvořit uživatele s názvem Britta Simon na GitHubu. GitHub podporuje automatické zřizování uživatelů, které je ve výchozím nastavení povolené. Další podrobnosti o tom, jak nakonfigurovat automatické zřizování uživatelů, najdete tady .

Pokud potřebujete uživatele vytvořit ručně, proveďte následující kroky:

  1. Přihlaste se k firemnímu webu GitHubu jako správce.

  2. Vyberte osoby.

    Snímek obrazovky ukazuje web GitHubu s vybranou položkou 'Lidé'

  3. Vyberte Pozvat člena.

    Snímek obrazovky znázorňující možnost Pozvat uživatele

  4. Na stránce dialogového okna Pozvat člena proveďte následující kroky:

    a. Do textového pole E-mail zadejte e-mailovou adresu účtu Britta Simon.

    Snímek obrazovky znázorňující možnost Pozvat lidi

    b) Vyberte Odeslat pozvánku.

    Snímek obrazovky znázorňující stránku dialogového okna Pozvat člena s vybranou možností Člen a vybraným tlačítkem Odeslat pozvánku

    Poznámka:

    Držitel účtu Microsoft Entra obdrží e-mail a po odkazu potvrdí svůj účet předtím, než se stane aktivní.

Testování SSO

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

  • Vyberte Otestovat tuto aplikaci, tato možnost se přesměruje na přihlašovací adresu URL GitHubu, kde můžete zahájit tok přihlášení.

  • Přejděte přímo na přihlašovací adresu URL GitHubu a spusťte tok přihlášení odsud.

  • Můžete použít Microsoft Moje aplikace. Když v části Moje aplikace vyberete dlaždici GitHub, tato možnost se přesměruje na přihlašovací adresu URL GitHubu. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.

Související obsah

Jakmile nakonfigurujete GitHub, můžete uplatnit řízení relací, které v reálném čase chrání citlivá data vaší organizace před exfiltrací a infiltrací. Řízení relací vychází z podmíněného přístupu. Zjistěte, jak řídit relace pomocí Microsoft Defender for Cloud Apps.

  • Last updated on