チュートリアル: Microsoft Entra シングル サインオン (SSO) と GitHub Enterprise Managed User の統合
このチュートリアルでは、GitHub Enterprise Managed User (EMU) と Microsoft Entra ID を統合する方法について説明します。 GitHub Enterprise Managed User と Microsoft Entra ID を統合すると、次のことができます。
- GitHub Enterprise Managed User にアクセスできるユーザーを Microsoft Entra ID で制御する。
- ユーザーが自分の Microsoft Entra アカウントを使用して GitHub Enterprise Managed User に自動的にサインインできるようにする。
- 1 つの場所でアカウントを管理します。
Note
GitHub Enterprise Managed Users は GitHub Enterprise Cloud の機能であり、GitHub Enterprise の標準的な SAML SSO 実装とは異なります。 EMU インスタンスを特別に要求していない限り、標準の GitHub Enterprise Cloud プランになります。 その場合は、関連ドキュメントを参照して、Microsoft Entra ID による認証を行うように EMU 以外の組織またはエンタープライズ アカウントを構成してください。
前提条件
開始するには、次が必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- GitHub Enterprise Managed User でのシングル サインオン (SSO) が有効なサブスクリプション。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。
- GitHub Enterprise Managed User は、SP と IDP によって開始される SSO の両方をサポートしています。
- GitHub Enterprise Managed User には、自動化されたユーザー プロビジョニングが必要です。
ギャラリーからの GitHub Enterprise Managed User の追加
Microsoft Entra ID への GitHub Enterprise Managed User の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に GitHub Enterprise Managed User を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- 検索ボックスに「GitHub Enterprise Managed User」と入力します。
- 結果のパネルから [GitHub Enterprise Managed User] を選択して [作成] ボタンをクリックします。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
GitHub Enterprise Managed User の Microsoft Entra SSO の構成とテスト
GitHub Enterprise Managed User に対する Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
- Microsoft Entra SSO を構成する - Microsoft Entra テナントで SAML シングル サインオンを有効にします。
- GitHub Enterprise Managed User の SSO の構成 - GitHub Enterprise でシングル サインオン設定を構成します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[GitHub Enterprise Managed User]>[シングル サインオン] の順に移動します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。
始める前に Enterprise URL があることを確認します。 下に示す ENTITY フィールドは、EMU 対応 Enterprise URL の Enterprise 名です。 たとえば、 https://github.com/enterprises/contoso - contoso が ENTITY です。 [基本的な SAML 構成] セクションで、アプリケーションを IDP 開始モードで構成する場合は、次のフィールドの値を入力します。
a. [識別子] ボックスに、
https://github.com/enterprises/<ENTITY>
の形式で URL を入力します。注意
識別子の形式は、アプリケーションの推奨形式とは異なります。上の形式に従ってください。 さらに、**識別子の末尾にスラッシュを付けないでください。
b. [応答 URL] ボックスに、
https://github.com/enterprises/<ENTITY>/saml/consume
のパターンを使用して URL を入力しますアプリケーションを SP 開始モードで構成する場合は、 [追加の URL を設定します] をクリックして次の手順を実行します。
[サインオン URL] ボックスに、
https://github.com/enterprises/<ENTITY>/sso
という形式で URL を入力します。[SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで [証明書 (PEM)] を見つけ、[PEM 証明書のダウンロード] を選んで証明書をダウンロードしてコンピューターに保存します。
[Set up GitHub Enterprise Managed User](GitHub Enterprise Managed User の設定) セクションで、下の URL をコピーして、下で GitHub を構成するために保存します。
Microsoft Entra テスト ユーザーを割り当てる
このセクションでは、SSO の設定を完了するために、アカウントを GitHub Enterprise Managed User に割り当てます。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[GitHub Enterprise Managed User] の順に移動します。
- アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。
- [ユーザーの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログの [ユーザー] リストで自分のアカウントを選択し、画面の下部にある [選択] ボタンをクリックします。
- [ロールの選択] ダイアログで、 [Enterprise Owner](エンタープライズ所有者) ロールを選択してから、画面の下部にある [選択] ボタンをクリックします。 アカウントは、次のチュートリアルでアカウントをプロビジョニングするときに、GitHub インスタンスのエンタープライズ所有者として割り当てられます。
- [割り当ての追加] ダイアログで、 [割り当て] をクリックします。
GitHub Enterprise Managed User SSO の構成
GitHub Enterprise Managed User 側でシングル サインオンを構成するには、次のものが必要になります。
- 上記の Microsoft Entra Enterprise Managed User Application からの URL: ログイン URL、Microsoft Entra 識別子、ログアウト URL
- GitHub Enterprise の最初の管理者ユーザーのアカウント名とパスワード。 資格情報は、GitHub Solutions Engineering 担当者からパスワード リセット電子メールで送られてきます。
GitHub Enterprise Managed User SAML SSO の有効化
このセクションでは、上記の Microsoft Entra ID から提供されている情報を取得し、それらを Enterprise 設定に入力して、SSO のサポートを有効にします。
- [https://resources.azure.com](https://github.com) に移動します
- 右上隅の [サインイン] をクリックします。
- 最初の管理者ユーザー アカウントの資格情報を入力します。 ログイン ハンドルの形式は
<your enterprise short code>_admin
にします。 https://github.com/enterprises/
<your enterprise name>
にアクセスします。 この情報は、Solutions Engineering 担当者から提供されます。- 左側のナビゲーション メニューで、[設定]、[認証セキュリティ] の順に選択します。
- [SAML 認証の要求] チェックボックスをオンにします
- サインオン URL を入力します。 この URL は、上の Microsoft Entra ID からコピーしたログイン URL です。
- 発行者を入力します。 この URL は、上記の Microsoft Entra ID からコピーした Microsoft Entra 識別子です。
- 公開証明書を入力します。 上でダウンロードした base64 証明書を開いて、そのファイルのテキストの内容をこのダイアログに貼り付けます。
- [Test SAML configuration](SAML 構成のテスト) をクリックします。 これにより、Microsoft Entra 資格情報でログインして SAML SSO が正しく構成されていることを確認するためのダイアログが開きます。 Microsoft Entra の資格情報を使用してログインします。 検証に成功すると [Passed: Successfully authenticated your SAML SSO identity](成功: SAML SSO ID が正常に認証されました) メッセージが表示されます。
- [保存] をクリックしてこれらの設定を保持します。
- 回復用コードは安全な場所に保存 (ダウンロード、印刷、またはコピー) してください。
- [SAML 認証を有効にする] をクリックします。
- この時点で、SSO が設定されたアカウントだけが Enterprise にログインできます。 SSO によってサポートされるアカウントをプロビジョニングするには、下のプロビジョニングに関するドキュメントの手順に従ってください。
次のステップ
GitHub Enterprise Managed User では、すべてのアカウントが自動ユーザー プロビジョニングによって作成されることが必要です。自動ユーザー プロビジョニングの構成方法の詳細は、こちらをご覧ください。