この記事では、GitHub Enterprise Cloud Organization と Microsoft Entra ID を統合する方法について説明します。 GitHub Enterprise Cloud Organization を Microsoft Entra ID と統合すると、次のことが可能になります。
- GitHub Enterprise Cloud Organization にアクセスできるユーザーを Microsoft Entra ID で管理する。
- GitHub Enterprise Cloud Organization へのアクセスを一元管理する。
前提条件
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
- 次のいずれかのロール:
- GitHub Enterprise Cloud で作成された GitHub 組織。GitHub Enterprise の課金プランが必要です。
シナリオの説明
この記事では、テスト環境で Microsoft Entra のシングル サインオンを構成し、テストします。
GitHub では、 SP Initiated SSO がサポートされます。
GitHub では、 自動 ユーザー プロビジョニング (組織の招待) がサポートされています。
ギャラリーからの GitHub の追加
Microsoft Entra ID への GitHub の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に GitHub を追加する必要があります。
- Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
- Entra ID>Enterprise apps>新しいアプリケーションに移動します。
- [ギャラリーからの追加] セクションで、検索ボックスに「GitHub」と入力します。
- 結果パネルから GitHub Enterprise Cloud - Organization を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。
GitHub 用に Microsoft Entra SSO を構成およびテストする
B.Simon というテスト ユーザーを使用して、GitHub に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと GitHub の関連ユーザーとの間にリンク関係を確立する必要があります。
GitHub に対して Microsoft Entra の SSO を構成およびテストするには、次の手順を実行します。
- Microsoft Entra SSO を構成 する - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
- GitHub SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
- GitHub のテストユーザーを作成する - GitHub で B.Simon の対応ユーザーを作成し、それを Microsoft Entra にリンクさせます。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO を構成する
Microsoft Entra SSO を有効にするには、次のステップに従います。
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>Enterprise apps>GitHub>シングルサインオンに移動します。
[ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します。
[ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。
[ 基本的な SAML 構成] セクションで、次のフィールドの値を入力します。
a. [ 識別子 (エンティティ ID)] テキスト ボックスに、次のパターンを使用して URL を入力します。
https://github.com/orgs/<Organization ID>
b。 [ 応答 URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。
https://github.com/orgs/<Organization ID>/saml/consume
c. [ サインオン URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。
https://github.com/orgs/<Organization ID>/sso
Note
これらは実際の値ではありません。 実際の識別子、応答 URL、サインオン URL にこれらの値を置き換える必要があります。 ここでは、識別子に一意の文字列値を使用することをお勧めします。 これらの値を取得するには、GitHub 管理者セクションに移動します。
GitHub アプリケーションでは、特定の形式の SAML アサーションを使用するため、カスタム属性マッピングを SAML トークン属性の構成に追加する必要があります。 次のスクリーンショットは、既定の属性の一覧を示しています。 一意のユーザー識別子 (名前 ID) は user.userprincipalname にマップされています。 GitHub アプリケーションでは、 一意のユーザー識別子 (名前 ID) が user.mail にマップされることを想定しているため、[ 編集] アイコンを選択して属性マッピングを編集し、属性マッピングを変更する必要があります。
[ SAML を使用した単一 Sign-On のセットアップ ] ページの [ SAML 署名証明書 ] セクションで、[ ダウンロード ] を選択して、要件に従って指定されたオプションから 証明書 (Base64) をダウンロードし、コンピューターに保存します。
[ GitHub のセットアップ ] セクションで、要件に従って適切な URL をコピーします。
Microsoft Entra テスト ユーザーの作成と割り当て
ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。
GitHub の SSO の構成
別の Web ブラウザー ウィンドウで、GitHub 組織サイトに管理者としてサインインします。
[設定] に移動し、[セキュリティ] を選択します。
[ SAML 認証を有効にする ] チェック ボックスをオンにして、[シングル サインオンの構成] フィールドを表示し、次の手順を実行します。
a. シングル サインオン URL の値をコピーし、[基本的な SAML 構成] の [サインオン URL] テキスト ボックスにこの値を貼り付けます。
b。 アサーション コンシューマー サービスの URL 値をコピーし、この値を [基本的な SAML 構成] の [応答 URL] テキスト ボックスに貼り付けます。
次のフィールドを構成します。
a. [ サインオン URL ] ボックスに、前にコピーした ログイン URL の値を貼り付けます。
b。 [Issuer]\(発行者\) テキストボックスに、前にコピーした Microsoft Entra Identifier の値を貼り付けます。
c. Azure portal からダウンロードした証明書をメモ帳で開き、[ パブリック証明書 ] ボックスに内容を貼り付けます。
d. 次に示すように 、[編集] アイコンを選択して、署名 方法 と ダイジェスト メソッド を RSA-SHA1 と SHA1 から RSA-SHA256 および SHA256 に編集します。
e. GitHub の URL が Azure アプリ登録の URL と一致するように、 アサーション コンシューマー サービスの URL (応答 URL) を既定の URL から更新します。
[ SAML 構成のテスト ] を選択して、SSO 中に検証エラーまたはエラーがないことを確認します。
[保存] を選択する
Note
GitHub でのシングル サインオンは、GitHub の特定の組織に対して認証を行い、GitHub 自体の認証に代わることはありません。 つまり、ユーザーの github.com セッションの有効期限が切れた場合は、シングル サインオン プロセス中に GitHub の ID とパスワードで認証するように求められることがあります。
GitHub テスト ユーザーの作成
このセクションの目的は、GitHub で Britta Simon というユーザーを作成することです。 GitHub では、自動ユーザー プロビジョニングがサポートされています。この設定は、既定で有効になっています。 自動ユーザー プロビジョニングを構成する方法の詳細 については、こちらをご覧ください 。
ユーザーを手動で作成する必要がある場合は、次の手順を実行します。
GitHub 企業サイトに管理者としてログインします。
人々 を選択します。
[ メンバーの招待] を選択します。
[ メンバーの招待 ] ダイアログ ページで、次の手順を実行します。
a. [ 電子メール ] ボックスに、Britta Simon アカウントのメール アドレスを入力します。
b。 [ 招待の送信] を選択します。
Note
Microsoft Entra アカウント所有者が電子メールを受信し、リンクに従ってアカウントを確認すると、そのアカウントがアクティブになります。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[ このアプリケーションをテストする] を選択すると、このオプションはログイン フローを開始できる GitHub のサインオン URL にリダイレクトされます。
GitHub のサインオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用することができます。 マイ アプリで [GitHub] タイルを選択すると、このオプションは GitHub のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、「マイ アプリの 概要」を参照してください。
関連コンテンツ
GitHub を構成したら、ご自分の組織の機密データの流出と侵入をリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します。