Udostępnij za pośrednictwem

Konfigurowanie serwera GitHub Enterprise Server na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować serwer GitHub Enterprise Server z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu serwera GitHub Enterprise Server z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do serwera GitHub Enterprise Server.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do serwera GitHub Enterprise Server przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Warunki wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto .
  • GitHub Enterprise Server, gotowy do inicjalizacji .
  • Wraz z administratorem aplikacji w chmurze administrator aplikacji może również dodawać aplikacje lub zarządzać nimi w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz wbudowane role Azure.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • GitHub Enterprise Server obsługuje logowanie jednokrotne inicjowane przez dostawcę usług SP i dostawcę tożsamości IDP.
  • Usługa GitHub Enterprise Server obsługuje aprowizowanie użytkowników Just In Time.
  • Usługa GitHub Enterprise Server wspiera automatyczne przydzielanie użytkowników.

Aby skonfigurować integrację serwera GitHub Enterprise Server z identyfikatorem Entra firmy Microsoft, należy dodać serwer GitHub Enterprise Server z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodaj z galerii wpisz GitHub Enterprise Server w polu wyszukiwania.
  4. Wybierz GitHub Enterprise Server z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do Twojej dzierżawy.

Alternatywnie możesz również użyć Kreatora konfiguracji aplikacji Enterprise . W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego Microsoft Entra dla serwera GitHub Enterprise Server

Skonfiguruj i przetestuj Microsoft Entra SSO w usłudze GitHub Enterprise Server przy użyciu użytkownika testowego o nazwie B.Simon. Aby jednokrotne logowanie (SSO) działało, należy ustanowić połączenie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w usłudze GitHub Enterprise Server.

Aby skonfigurować i przetestować SSO (logowanie jednokrotne) Microsoft Entra z GitHub Enterprise Server, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego Microsoft Entra — aby przetestować jednorazowe logowanie Microsoft Entra z B.Simon.
    2. Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania do Microsoft Entra.
  2. Konfiguruj SSO na serwerze GitHub Enterprise — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego serwera GitHub Enterprise Server — aby mieć w usłudze GitHub Enterprise Server odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Test logowania jednokrotnego: aby sprawdzić, czy konfiguracja działa.

Skonfiguruj logowanie jednokrotne Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Aplikacje dla przedsiębiorstw>GitHub Enterprise Server>Logowanie jednokrotne.

  3. Na stronie Wybierz metodę logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego z SAML wybierz ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

    Zrzut ekranu przedstawia edytowanie podstawowej konfiguracji S A M L.

  5. Jeśli w sekcji Podstawowa konfiguracja protokołu SAML chcesz skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości , wykonaj następujące kroki:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, korzystając z następującego wzorca: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/saml/consume

  6. Wybierz pozycję Ustaw dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie zainicjowanym przez dostawcę usług :

    W polu tekstowym adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/sso

    Notatka

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Aby uzyskać te wartości, skontaktuj się z zespołem pomocy technicznej klienta serwera GitHub Enterprise Server . Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  7. Aplikacja GitHub Enterprise Server oczekuje, że asercje SAML będą miały określony format, co wymaga skonfigurowania niestandardowych mapowań atrybutów w konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    Zrzut ekranu przedstawia obraz aplikacji Enterprise Server.

  8. Edytuj atrybuty użytkownika i żądania.

  9. Wybierz Dodaj nowe oświadczenie i wprowadź nazwę jako administrator w polu tekstowym (wielkość liter jest rozróżniana).

  10. Rozwiń warunki roszczenia i wybierz Członkowie z Typ użytkownika.

  11. Wybierz Wybierz grupy i wyszukaj Grupę, do której chcesz dołączyć to żądanie, gdzie jej członkowie powinni być administratorami GHES.

  12. Wybierz atrybut dla źródła i wprowadź true (bez cudzysłowów) dla wartości.

  13. Wybierz Zapisz.

    Zrzut ekranu przedstawiający zarządzanie roszczeniami dla atrybutów.

    Notatka

    Aby poznać instrukcje dotyczące dodawania oświadczenia, postępuj zgodnie z linkiem .

  14. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML w sekcji Certyfikat podpisywania SAML znajdź certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    Zrzut ekranu przedstawia link pobierania certyfikatu.

  15. W sekcji Konfigurowanie usługi GitHub Enterprise Server skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Zrzut ekranu pokazuje, jak skopiować odpowiedni URL.

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku szybkiego startu dotyczącym tworzenia i przypisywania konta użytkownika, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie jednokrotnego logowania na serwerze GitHub Enterprise

Aby skonfigurować Single Sign-On po stronie serwera GitHub Enterprise, należy wykonać instrukcje wymienione tutaj.

Tworzenie użytkownika testowego serwera GitHub Enterprise Server

W tej sekcji w usłudze GitHub Enterprise Server jest tworzony użytkownik o nazwie B.Simon. Usługa GitHub Enterprise Server obsługuje aprowizację użytkowników na żądanie, która jest domyślnie włączona. Nie masz żadnych zadań do wykonania w tej sekcji. Jeśli użytkownik jeszcze nie istnieje w usłudze GitHub Enterprise Server, zostanie utworzony po uwierzytelnieniu.

Usługa GitHub Enterprise Server obsługuje również automatyczną aprowizację użytkowników, a więcej szczegółów na temat konfigurowania automatycznej aprowizacji użytkowników można znaleźć tutaj.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra z następującymi opcjami.

Zainicjowane przez SP:

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania serwera GitHub Enterprise Server, pod którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania do serwera GitHub Enterprise i zainicjuj przepływ logowania z tego miejsca.

Inicjowane przez IDP.

  • Wybierz pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do serwera GitHub Enterprise Server, dla którego skonfigurowano logowanie jednokrotne.

Możesz również użyć aplikacji Microsoft My Apps do przetestowania aplikacji w dowolnym trybie. Po wybraniu kafelka GitHub Enterprise Server w obszarze Moje aplikacje, jeśli skonfigurowano go w trybie SP, nastąpi przekierowanie do strony logowania do aplikacji w celu zainicjowania przepływu logowania. Jeśli skonfigurowano go w trybie IDP, powinieneś zostać automatycznie zalogowany do serwera GitHub Enterprise Server, dla którego skonfigurowano logowanie jednokrotne (SSO). Aby uzyskać więcej informacji, zobacz Microsoft Entra My Apps.

Powiązana zawartość