Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z usługą GitHub Enterprise Managed User
Z tego samouczka dowiesz się, jak zintegrować aplikację GitHub Enterprise Managed User (EMU) z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi GitHub Enterprise Managed User z identyfikatorem Microsoft Entra ID można wykonywać następujące czynności:
- Kontroluj identyfikator entra firmy Microsoft, który ma dostęp do zarządzanego użytkownika usługi GitHub Enterprise.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do zarządzanego użytkownika usługi GitHub Enterprise przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Uwaga
Użytkownicy zarządzani w usłudze GitHub Enterprise to funkcja usługi GitHub Enterprise Cloud, która różni się od standardowej implementacji logowania jednokrotnego SAML w usłudze GitHub Enterprise. Jeśli nie zażądano specjalnie wystąpienia EMU, masz standardowy plan usługi GitHub Enterprise Cloud. W takim przypadku zapoznaj się z odpowiednią dokumentacją, aby skonfigurować organizację inną niż EMU lub konto przedsiębiorstwa w celu uwierzytelnienia przy użyciu identyfikatora Entra firmy Microsoft.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
- Subskrypcja aplikacji GitHub Enterprise Managed User z obsługą logowania jednokrotnego.
Opis scenariusza
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
- Usługa GitHub Enterprise Managed User obsługuje logowanie jednokrotne inicjowane przez dostawcę usług i dostawcę tożsamości .
- Użytkownik zarządzany przez usługę GitHub Enterprise wymaga automatycznej aprowizacji użytkowników.
Dodawanie aplikacji GitHub Enterprise Managed User z galerii
Aby skonfigurować integrację aplikacji GitHub Enterprise Managed User z identyfikatorem Entra firmy Microsoft, należy dodać użytkownika zarządzanego usługi GitHub Enterprise z galerii do listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- Wpisz GitHub Enterprise Managed User w polu wyszukiwania.
- Wybierz pozycję GitHub Enterprise Managed User z panelu wyników, a następnie kliknij przycisk Utwórz . Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla zarządzanego użytkownika w usłudze GitHub Enterprise
Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w usłudze GitHub Enterprise Managed User, wykonaj następujące kroki:
- Konfigurowanie logowania jednokrotnego firmy Microsoft — aby włączyć Logowanie jednokrotne SAML w dzierżawie firmy Microsoft Entra.
- Konfigurowanie logowania jednokrotnego zarządzanego przez użytkownika w usłudze GitHub Enterprise — aby skonfigurować ustawienia logowania jednokrotnego w usłudze GitHub Enterprise.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do sekcji Identity Applications Enterprise Applications>Enterprise Managed User Single sign-on (Logowanie jednokrotne aplikacji tożsamości>dla przedsiębiorstw>w usłudze GitHub Enterprise Managed User).>
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.
Przed rozpoczęciem upewnij się, że masz adres URL przedsiębiorstwa. Pole JEDNOSTKA wymienione poniżej to nazwa przedsiębiorstwa adresu URL przedsiębiorstwa z obsługą EMU. Na przykład https://github.com/enterprises/contoso - contoso jest jednostką. Jeśli chcesz skonfigurować aplikację w trybie inicjowany przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:
a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca:
https://github.com/enterprises/<ENTITY>
Uwaga
Zwróć uwagę, że format identyfikatora różni się od sugerowanego formatu aplikacji — postępuj zgodnie z powyższym formatem. Ponadto upewnij się, że **Identyfikator nie zawiera ukośnika końcowego.
b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca:
https://github.com/enterprises/<ENTITY>/saml/consume
Kliknij przycisk Ustaw dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie inicjowania przez dostawcę usług:
W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca:
https://github.com/enterprises/<ENTITY>/sso
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (PEM) i wybierz pozycję Pobierz certyfikat PEM, aby pobrać certyfikat i zapisać go na komputerze.
W sekcji Konfigurowanie użytkownika zarządzanego w usłudze GitHub Enterprise skopiuj poniższe adresy URL i zapisz je w celu skonfigurowania usługi GitHub poniżej.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji przypiszesz swoje konto do zarządzanego użytkownika usługi GitHub Enterprise, aby ukończyć konfigurację logowania jednokrotnego.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise Applications>Enterprise Managed User (Aplikacje dla>przedsiębiorstw w usłudze>GitHub Enterprise Managed User).
- Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
- W oknie dialogowym Użytkownicy i grupy wybierz swoje konto z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- W oknie dialogowym Wybieranie roli wybierz rolę Właściciel przedsiębiorstwa, a następnie kliknij przycisk Wybierz w dolnej części ekranu. Twoje konto jest przypisywane jako właściciel przedsiębiorstwa dla wystąpienia usługi GitHub podczas aprowizowania konta w następnym samouczku.
- W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.
Konfigurowanie logowania jednokrotnego zarządzanego przez użytkownika w usłudze GitHub Enterprise
Aby skonfigurować logowanie jednokrotne po stronie użytkownika zarządzanego w usłudze GitHub Enterprise, wymagane są następujące elementy:
- Powyższe adresy URL aplikacji użytkownika zarządzanego przez firmę Microsoft Entra Enterprise: adres URL logowania; Microsoft Entra Identifier; i adres URL wylogowywania
- Nazwa konta i hasło pierwszego administratora usługi GitHub Enterprise. Poświadczenia są dostarczane przez wiadomość e-mail dotyczącą resetowania hasła z kontaktu inżynieryjnego usługi GitHub Solutions.
Włączanie logowania jednokrotnego SAML zarządzanego przez użytkownika w usłudze GitHub Enterprise
W tej sekcji uzyskasz informacje podane z powyższego identyfikatora Firmy Microsoft Entra i wprowadzisz je w ustawieniach przedsiębiorstwa, aby włączyć obsługę logowania jednokrotnego.
- Przejdź do strony https://github.com
- Kliknij pozycję Zaloguj się w prawym górnym rogu
- Wprowadź poświadczenia dla pierwszego konta użytkownika administratora. Uchwyt logowania powinien mieć format:
<your enterprise short code>_admin
- Przejdź do
https://github.com/enterprises/
<your enterprise name>
adresu . Te informacje powinny być udostępniane przez kontakt inżynierów rozwiązań. - W menu nawigacji po lewej stronie wybierz pozycję Ustawienia, a następnie pozycję Zabezpieczenia uwierzytelniania.
- Kliknij pole wyboru Wymagaj uwierzytelniania SAML
- Wprowadź adres URL logowania. Ten adres URL to adres URL logowania skopiowany z powyższego identyfikatora firmy Microsoft Entra.
- Wprowadź wystawcę. Ten adres URL to identyfikator entra firmy Microsoft skopiowany z powyższego identyfikatora Entra firmy Microsoft.
- Wprowadź certyfikat publiczny. Otwórz pobrany powyżej certyfikat base64 i wklej zawartość tekstową tego pliku w tym oknie dialogowym.
- Kliknij pozycję Testuj konfigurację protokołu SAML. Spowoduje to otwarcie okna dialogowego umożliwiającego zalogowanie się przy użyciu poświadczeń firmy Microsoft Entra w celu sprawdzenia, czy logowanie jednokrotne SAML jest poprawnie skonfigurowane. Zaloguj się przy użyciu poświadczeń usługi Microsoft Entra. Zostanie wyświetlony komunikat Passed: Pomyślnie uwierzytelniono tożsamość logowania jednokrotnego SAML po pomyślnej weryfikacji.
- Kliknij przycisk Zapisz , aby utrwały te ustawienia.
- Zapisz (pobierz, drukuj lub skopiuj) kody odzyskiwania w bezpiecznym miejscu.
- Kliknij pozycję Włącz uwierzytelnianie SAML.
- Na tym etapie tylko konta z logowaniem jednokrotnym mogą logować się do przedsiębiorstwa. Postępuj zgodnie z instrukcjami w poniższym dokumencie dotyczącymi aprowizacji, aby aprowizować konta wspierane przez logowanie jednokrotne.
Następne kroki
Użytkownik zarządzany przez usługę GitHub Enterprise wymaga utworzenia wszystkich kont za pomocą automatycznej aprowizacji użytkowników. Więcej szczegółów można znaleźć tutaj , aby dowiedzieć się, jak skonfigurować automatyczną aprowizację użytkowników.