Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Z tego artykułu dowiesz się, jak zintegrować organizację usługi GitHub Enterprise Cloud z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu organizacji GitHub Enterprise Cloud z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do organizacji GitHub Enterprise Cloud.
- Zarządzanie dostępem do organizacji GitHub Enterprise Cloud w jednej centralnej lokalizacji.
Wymagania wstępne
W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:
- Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedna z następujących ról:
- Organizacja usługi GitHub utworzona w usłudze GitHub Enterprise Cloud, która wymaga planu rozliczeniowego GitHub Enterprise.
Opis scenariusza
W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.
GitHub obsługuje logowanie jednokrotne inicjowane przez dostawcę usług (SP).
Usługa GitHub obsługuje automatyczną aprowizację użytkowników (zaproszenia organizacji).
Dodawanie aplikacji GitHub z galerii
Aby skonfigurować integrację usługi GitHub z identyfikatorem Entra firmy Microsoft, należy dodać usługę GitHub z galerii do swojej listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do Entra ID>aplikacje biznesowe>Nowa aplikacja.
- W sekcji Dodawanie z galerii wpisz GitHub w polu wyszukiwania.
- Wybierz pozycję GitHub Enterprise Cloud — organizacja z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.
Konfiguracja i testowanie Microsoft Entra SSO dla usługi GitHub
Skonfiguruj i przetestuj Microsoft Entra SSO z GitHubem, używając użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a odpowiadającym mu użytkownikiem w GitHubie.
Aby skonfigurować i przetestować Microsoft Entra SSO z usługą GitHub, wykonaj następujące kroki:
-
Skonfiguruj Microsoft Entra jednokrotne logowanie (SSO) — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z B.Simon.
- Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
-
Konfigurowanie logowania jednokrotnego w usłudze GitHub — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie użytkownika testowego usługi GitHub — aby mieć w usłudze GitHub odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfiguracja logowania jednokrotnego Microsoft Entra
Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do Entra ID>, Aplikacje przedsiębiorstw>, GitHub>, Logowanie jednokrotne.
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.
W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:
a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, korzystając z następującego wzorca:
https://github.com/orgs/<Organization ID>
b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca:
https://github.com/orgs/<Organization ID>/saml/consume
c. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca:
https://github.com/orgs/<Organization ID>/sso
Uwaga
Należy pamiętać, że nie są to rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. W tym miejscu zalecamy użycie unikatowej wartości ciągu w identyfikatorze. Przejdź do sekcji dotyczącej administrowania aplikacją GitHub, aby pobrać te wartości.
Aplikacja GitHub oczekuje asercji SAML w określonym formacie, który wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenów SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych, natomiast unikatowy identyfikator użytkownika (identyfikator nazwy) jest mapowany z atrybutem user.userprincipalname. Aplikacja GitHub oczekuje, że unikatowy identyfikator użytkownika (identyfikator nazwy) zostanie zamapowany na user.mail, więc musisz edytować mapowanie atrybutów, wybierając ikonę Edytuj i zmieniając mapowanie atrybutów.
Na stronie Skonfiguruj pojedynczy Sign-On przy użyciu SAML, w sekcji Certyfikat podpisywania SAML, wybierz Pobierz, aby pobrać certyfikat (Base64) z dostępnych opcji zgodnie z wymaganiami i zapisać go na komputerze.
W sekcji Konfigurowanie usługi GitHub skopiuj odpowiednie adresy URL zgodnie z wymaganiami.
Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra
Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika"
Konfigurowanie SSO GitHub
W innym oknie przeglądarki internetowej zaloguj się do witryny organizacji usługi GitHub jako administrator.
Przejdź do obszaru Ustawienia i wybierz pozycję Zabezpieczenia.
Zaznacz pole Włącz uwierzytelnianie SAML , ujawniając pola konfiguracji logowania jednokrotnego, wykonaj następujące kroki:
a. Skopiuj wartość adresu URL logowania jednokrotnego i wklej tę wartość w polu tekstowym Adres URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.
b. Skopiuj wartość adresu URL usługi konsumenta asercji i wklej tę wartość w polu tekstowym Adres URL odpowiedzi w podstawowej konfiguracji protokołu SAML.
Skonfiguruj następujące pola:
a. W polu tekstowym Adres URL logowania wklej wartość adresu URL logowania skopiowaną wcześniej.
b. W polu tekstowym Wystawca wklej wartość Microsoft Entra ID, którą skopiowałeś wcześniej.
c. Otwórz pobrany certyfikat z witryny Azure Portal w Notatniku, wklej zawartość w polu tekstowym Certyfikat publiczny .
d. Wybierz ikonę Edytuj, aby edytować metodę podpisu i metodę skrótu z RSA-SHA1 i SHA1 do RSA-SHA256 i SHA256, jak pokazano poniżej.
e. Zaktualizuj adres URL usługi odbiorcy asercji (adres URL odpowiedzi) z domyślnego adresu URL, aby adres URL w usłudze GitHub był zgodny z adresem URL rejestracji aplikacji platformy Azure.
Wybierz pozycję Testuj konfigurację protokołu SAML, aby potwierdzić, że podczas SSO nie występują błędy ani problemy ze sprawdzaniem poprawności.
Wybierz Zapisz
Uwaga
Logowanie jednokrotne w GitHub uwierzytelnia użytkownika w określonej organizacji w tej platformie i nie zastępuje samego uwierzytelniania GitHub. W związku z tym jeśli sesja użytkownika w witrynie github.com wygaśnie, w czasie logowania jednokrotnego może pojawić się prośba o uwierzytelnienie za pomocą identyfikatora/hasła usługi GitHub.
Tworzenie użytkownika testowego w aplikacji GitHub
Celem tej sekcji jest utworzenie użytkownika o nazwie Britta Simon w aplikacji GitHub. Aplikacja GitHub obsługuje automatyczną aprowizację użytkowników, która jest domyślnie włączona. Więcej szczegółów można znaleźć tutaj , aby dowiedzieć się, jak skonfigurować automatyczną aprowizację użytkowników.
Jeśli musisz ręcznie utworzyć użytkownika, wykonaj następujące kroki:
Zaloguj się do firmowej witryny aplikacji GitHub jako administrator.
Wybierz pozycję Osoby.
Wybierz pozycję Zaproś członka.
Na stronie okna dialogowego Zapraszanie członka wykonaj następujące kroki:
a. W polu tekstowym Email (Adres e-mail) wpisz adres e-mail konta Britta Simon.
b. Wybierz pozycję Wyślij zaproszenie.
Uwaga
Właściciel konta Microsoft Entra otrzyma wiadomość e-mail i użyje linku, aby potwierdzić swoje konto, zanim stanie się aktywne.
Testowanie logowania jednokrotnego
W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra z następującymi opcjami.
Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania w usłudze GitHub, w którym można zainicjować przepływ logowania.
Przejdź bezpośrednio do adresu URL logowania w usłudze GitHub i z tego miejsca rozpocznij proces logowania.
Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka GitHub w obszarze Moje aplikacje ta opcja przekierowuje do adresu URL logowania w usłudze GitHub. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz
Introduction to the My Apps ( Wprowadzenie do aplikacji My Apps).
Powiązana zawartość
Po skonfigurowaniu usługi GitHub możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.