Konfigurace GitHub Enterprise Serveru pro jednotné přihlašování pomocí Microsoft Entra ID

V tomto článku se dozvíte, jak integrovat GitHub Enterprise Server s Microsoft Entra ID. Když integrujete GitHub Enterprise Server s Microsoft Entra ID, můžete:

• Ovládejte, kdo má v Microsoft Entra ID přístup k serveru GitHub Enterprise.
• Povolte uživatelům automatické přihlášení k GitHub Enterprise Serveru pomocí jejich účtů Microsoft Entra.
• Spravujte účty v jednom centrálním umístění.

Požadavky

Abyste mohli začít, potřebujete následující položky:

• Předplatné Entra od Microsoftu. Pokud předplatné nemáte, můžete získat bezplatný účet.
• GitHub Enterprise Server připravený k inicializaci.
• Spolu se správcem cloudových aplikací může správce aplikací také přidávat nebo spravovat aplikace v Microsoft Entra ID. Další informace najdete v tématu Předdefinované role v Azure.

Popis scénáře

V tomto článku nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.

• GitHub Enterprise Server podporuje SP a IDP iniciované jednotné přihlašování SSO.
• GitHub Enterprise Server podporuje zřizování uživatelů "Just In Time".
• GitHub Enterprise Server podporuje automatizované zřizování uživatelů.

Poznámka:

Aplikace GitHub Enterprise Server v současné době nepodporuje zřizování SCIM na cloudových platformách státní správy. Toto omezení je způsobeno tím, že GitHub Enterprise Server vyžaduje hlavičku User-Agent , která není součástí žádostí o zřizování odesílaných z cloudových prostředí státní správy.

Přidání GitHub Enterprise Serveru z galerie

Pokud chcete nakonfigurovat integraci GitHub Enterprise Serveru do Microsoft Entra ID, musíte přidat GitHub Enterprise Server z galerie do seznamu spravovaných aplikací SaaS.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce cloudových aplikací.
2. Prohlédněte si Entra ID>Podnikové aplikace>Nová aplikace.
3. V části Přidat z galerie zadejte do vyhledávacího pole GitHub Enterprise Server .
4. Na panelu výsledků vyberte GitHub Enterprise Server a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.

Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.

Konfigurace a testování jednotného přihlašování Microsoft Entra pro GitHub Enterprise Server

Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s GitHub Enterprise Serverem pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem na GitHub Enterprise Serveru.

Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s GitHub Enterprise Serverem, proveďte následující kroky:

1. Konfigurujte Microsoft Entra SSO – aby vaši uživatelé mohli tuto funkci používat.
   1. Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
   2. Přiřadit testovacího uživatele Microsoft Entra - aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
2. Konfigurace jednotného přihlašování k GitHub Enterprise Serveru – konfigurace nastavení jednotného přihlašování na straně aplikace
   1. Vytvořte testovacího uživatele GitHub Enterprise Serveru – aby měl protějšk B.Simon na GitHub Enterprise Serveru, který je propojený s reprezentací uživatele Microsoft Entra.
3. Test SSO – ověřte, zda konfigurace funguje.

Konfigurace jednotného přihlašování Microsoft Entra

Následujte tyto kroky, abyste aktivovali Microsoft Entra SSO.

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce cloudových aplikací.

2. Přejděte k Entra ID>podnikovým aplikacím>GitHub Enterprise Server>jednotné přihlašování.

3. Na stránce Vyberte metodu jednotného přihlašování zvolte možnost SAML.

4. Na stránce Nastavení jednotného přihlašování pomocí SAML vyberte ikonu tužky pro Základní konfiguraci SAML a upravte nastavení.

   

5. Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném protokolem IDP, proveďte v části Základní konfigurace SAML následující kroky:

   a. Do textového pole Identifikátor (ID entity) zadejte adresu URL pomocí následujícího vzoru: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>

   b) Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/saml/consume

6. Pokud chcete nakonfigurovat aplikaci v režimu inicializace SP, vyberte Nastavit další adresy URL a proveďte následující krok:

   Do textového pole Přihlásit se na adresu URL zadejte adresu URL pomocí následujícího vzoru: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/sso

   Poznámka:

   Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem, adresou URL odpovědi a přihlašovací adresou URL. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta GitHub Enterprise Serveru . Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML .

7. Aplikace GitHub Enterprise Server vyžaduje SAML výroky ve specifickém formátu, což zahrnuje přidání mapování vlastních atributů do konfigurace atributů tokenu SAML. Následující snímek obrazovky ukazuje seznam výchozích atributů.

   

8. Upravit atributy uživatele a deklarace identity

9. Vyberte Přidat nový nárok a zadejte název jako administrator do textového pole (hodnota administrator rozlišuje malá a velká písmena).

10. Rozbalte podmínky deklarace a vyberte Členy z typu uživatele.

11. Vyberte skupiny a vyhledejte skupinu, kterou chcete zahrnout do tohoto požadavku, jejíž členové jsou správci GHES.

12. Vyberte atributpro zdroj a jako true zadejte (bez uvozovek).

13. Vyberte Uložit.

    

14. Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte certifikát (Base64) a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.

    

15. V části Nastavení GitHub Enterprise Serveru zkopírujte odpovídající adresy URL podle vašeho požadavku.

    

Vytvoření a přiřazení testovacího uživatele Microsoft Entra

Postupujte podle pokynů v vytvoření a přiřazení uživatelského účtu rychlého startu pro vytvoření testovacího uživatelského účtu s názvem B.Simon.

Konfigurovat SSO pro GitHub Enterprise Server

Pokud chcete nakonfigurovat jednotné přihlašování na straně GitHub Enterprise Serveru, musíte postupovat podle zde uvedených pokynů.

Vytvoření testovacího uživatele GitHub Enterprise Serveru

V této části se na GitHub Enterprise Serveru vytvoří uživatel S názvem B.Simon. GitHub Enterprise Server podporuje zřizování uživatelů za běhu, které je ve výchozím nastavení povolené. V této části pro vás není žádný úkol. Pokud uživatel na GitHub Enterprise Serveru ještě neexistuje, vytvoří se po ověření nový.

GitHub Enterprise Server také podporuje automatické zřizování uživatelů. Další podrobnosti o tom, jak nakonfigurovat automatické zřizování uživatelů, najdete tady .

Testování SSO

V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.

SP bylo inicializováno:

• Vyberte Otestovat tuto aplikaci, tato možnost přesměruje na přihlašovací adresu URL serveru GitHub Enterprise, kde můžete zahájit tok přihlášení.

• Přejděte přímo na přihlašovací adresu URL GitHub Enterprise Serveru a spusťte tok přihlášení odtud.

Iniciovaný protokol IDP:

• Vyberte Otestovat tuto aplikaci a měli byste být automaticky přihlášení k Serveru GitHub Enterprise, pro který jste nastavili jednotné přihlašování.

Aplikaci můžete také otestovat v libovolném režimu pomocí aplikace Microsoft My Apps. Když v části Moje aplikace vyberete dlaždici GitHub Enterprise Server, pokud jste ji nakonfigurovali v režimu SP, budete přesměrováni na přihlašovací stránku aplikace pro inicializace toku přihlášení a pokud je nakonfigurovaný v režimu IDP, měli byste být automaticky přihlášení k Serveru GitHub Enterprise, pro který jste nastavili jednotné přihlašování. Viz Microsoft Entra My Appspro více informací.

Související obsah

• Konfigurování nasazení SCIM pro správu uživatelů

• Jakmile nakonfigurujete GitHub Enterprise Server, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje nad rámec podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.