Delen via

Zelfstudie: Integratie van eenmalige aanmelding van Microsoft Entra met een GitHub Enterprise Cloud Organization

  • Artikel

In deze zelfstudie leert u hoe u een GitHub Enterprise Cloud Organization integreert met Microsoft Entra ID. Wanneer u een GitHub Enterprise Cloud Organization integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra ID beheren wie toegang heeft tot uw GitHub Enterprise Cloud Organization.
  • Beheer de toegang tot uw GitHub Enterprise Cloud-organisatie op één centrale locatie.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

Als u de integratie van GitHub in Microsoft Entra ID wilt configureren, moet u GitHub vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
  3. In het gedeelte Toevoegen uit de galerie typt u in het zoekvak GitHub.
  4. Selecteer GitHub Enterprise Cloud - Organisatie in het resultatenvenster en voeg de app toe. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra voor GitHub configureren en testen

Configureer en test eenmalige aanmelding van Microsoft Entra met GitHub met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in GitHub.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met GitHub te configureren en te testen:

  1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
    1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.
  2. Eenmalige aanmelding bij GitHub configureren: als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    1. Een GitHub-testgebruiker maken: als u een tegenhanger van B.Simon in GitHub wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Identity>Applications>Enterprise-toepassingen>gitHub-eenmalige> aanmelding.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

    Standaard SAML-configuratie bewerken

  5. In de sectie Standaard-SAML-configuratie voert u de waarden in voor de volgende velden:

    a. In het tekstvak Id (Entiteits-id) typt u een URL met de volgende notatie: https://github.com/orgs/<Organization ID>

    b. In het tekstvak Antwoord-URL typt u een URL met de volgende notatie: https://github.com/orgs/<Organization ID>/saml/consume

    c. In het tekstvak Aanmeldings-URL typt u een URL met de volgende notatie: https://github.com/orgs/<Organization ID>/sso

    Notitie

    Houd er rekening mee dat dit niet de werkelijke waarden zijn. U moet deze waarden bijwerken met de werkelijke id, antwoord-URL en aanmeldings-URL. Wij raden u aan hiervoor de unieke waarde van de tekenreeks in de id te gebruiken. Ga naar de sectie GitHub-beheerder om de waarden op te halen.

  6. In de GitHub-toepassing worden de SAML-asserties in een specifieke indeling verwacht. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermopname ziet u de lijst met standaardkenmerken, terwijl unieke gebruikers-id (naam-id) is toegewezen aan user.userprincipalname. In de GitHub-toepassing wordt verwacht dat Unieke gebruikers-id (naam-id) is toegewezen aan user.mail. Daarom moet u de kenmerktoewijzing bewerken door op het pictogram Bewerken te klikken en de kenmerktoewijzing te wijzigen.

    Schermopname die de sectie 'Gebruikerskenmerken' toont met het pictogram 'Bewerken' geselecteerd.

  7. Op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat klikt u op Downloaden om het Certificaat (Base64) te downloaden uit de opgegeven opties overeenkomstig uw behoeften, en slaat u dit op uw computer op.

    De link om het certificaat te downloaden

  8. In het gedeelte GitHub instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    Configuratie-URL's kopiëren

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. Voer in het veld Weergavenaam de tekst in B.Simon.
    2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Controleren + maken.
  5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot GitHub.

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar Identity>Applications Enterprise-toepassingen>>GitHub.

  3. Zoek op de overzichtspagina van de app de sectie Beheren en selecteer Gebruikers en groepen.

  4. Selecteer Gebruiker toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.

  5. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.

  6. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.

    gebruikersfunctie

  7. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Eenmalige aanmelding voor GitHub configureren

  1. Meld u in een ander venster van de webbrowser als beheerder aan bij de site van uw GitHub-organisatie.

  2. Ga naar Instellingen en klik op Beveiliging.

    Schermopname die het GitHub-menu 'Organization settings' toont met 'Security' geselecteerd.

  3. Schakel het vakje SAML-verificatie inschakelen in. De velden voor het configureren van eenmalige aanmelding worden nu zichtbaar. Voer vervolgens de volgende stappen uit:

    Schermopname die de sectie 'Eenmalige aanmelding met SAML' met SAML-verificatie inschakelen' toont met URL-tekstvakken gemarkeerd.

    a. Kopieer de URL-waarde voor eenmalige aanmelding en plak deze waarde in het tekstvak Aanmeldings-URL in de Standaard SAML-configuratie.

    b. Kopieer de URL-waarde van assertion consumer service en plak deze waarde in het tekstvak Antwoord-URL in de standaard SAML-configuratie.

  4. Configureer de volgende velden:

    Schermopname die de tekstvakken 'Aanmeldings-URL', 'Uitgever' en 'Openbaar certificaat' toont.

    a. Plak in het tekstvak Aanmeldings-URL de waarde van de aanmeldings-URL die u eerder hebt gekopieerd.

    b. Plak in het tekstvak Issuer de microsoft Entra Identifier-waarde die u eerder hebt gekopieerd.

    c. Open in de Azure-portal het gedownloade certificaat in kladblok en plak de inhoud in het tekstvak Public Certificate.

    d. Klik op het pictogram Edit om de handtekeningmethode en samenvattingsmethode vanuit RSA-SHA1 en SHA1 te bewerken tot RSA-SHA256 en SHA256, zoals hieronder aangegeven.

    e. Werk de Assertion Consumer Service-URL (reactie-URL) bij op basis van de standaard-URL zodat de URL in GitHub overeenkomt met de URL in Azure-appregistratie.

    Schermopname van de afbeelding.

  5. Klik op Test SAML configuration om te controleren of er geen validatiefouten of -fouten tijdens eenmalige aanmelding zijn opgetreden.

    Schermopname van de instellingen.

  6. Klik op Opslaan.

Notitie

Eenmalige aanmelding in GitHub wordt geverifieerd met een specifieke organisatie in GitHub en is geen vervanging voor de verificatie van GitHub zelf. Dus als de gebruikerssessie op github.com is verlopen, kunt u worden gevraagd om u te verifiëren met de GitHub-id en het GitHub-wachtwoord tijdens het proces voor eenmalige aanmelding.

GitHub-testgebruiker maken

Het doel van deze sectie is om in GitHub een gebruiker te maken met de naam Britta Simon. GitHub ondersteunt het automatisch inrichten van gebruikers, wat standaard is ingeschakeld. U kunt hier meer informatie vinden over het configureren van het automatisch inrichten van gebruikers.

Als u de gebruiker handmatig moet maken, voert u de volgende stappen uit:

  1. Meld u als beheerder aan bij de bedrijfssite van GitHub.

  2. Klik op People.

    Schermopname toont de GitHub-site met geselecteerde personen.

  3. Klik op Invite member.

    Schermopname van de uitnodigingsgebruikers.

  4. Voer in het dialoogvenster Invite member de volgende stappen uit:

    a. Typ in het tekstvak Email het e-mailadres van het account van Britta Simon.

    Schermopname van de uitnodigingsmensen.

    b. Klik op Send Invitation.

    Schermopname die het dialoogvenster 'Invite member' toont met 'Member' en de knop 'Send invitation' geselecteerd.

    Notitie

    De houder van het Microsoft Entra-account ontvangt een e-mail en volgt een koppeling om zijn of haar account te bevestigen voordat het actief wordt.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Klik op Deze toepassing testen. U wordt omgeleid naar de aanmeldings-URL van GitHub, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van GitHub en initieer hier de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u in Mijn apps op de tegel GitHub klikt, wordt u omgeleid naar de aanmeldings-URL van GitHub. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Volgende stappen

Zodra u GitHub hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.