Udostępnij za pośrednictwem


Konfigurowanie organizacji GitHub Enterprise Cloud na potrzeby logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować organizację usługi GitHub Enterprise Cloud z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu organizacji GitHub Enterprise Cloud z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do organizacji GitHub Enterprise Cloud.
  • Zarządzanie dostępem do organizacji GitHub Enterprise Cloud w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

Aby skonfigurować integrację usługi GitHub z identyfikatorem Entra firmy Microsoft, należy dodać usługę GitHub z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>aplikacje biznesowe>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz GitHub w polu wyszukiwania.
  4. Wybierz pozycję GitHub Enterprise Cloud — organizacja z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfiguracja i testowanie Microsoft Entra SSO dla usługi GitHub

Skonfiguruj i przetestuj Microsoft Entra SSO z GitHubem, używając użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a odpowiadającym mu użytkownikiem w GitHubie.

Aby skonfigurować i przetestować Microsoft Entra SSO z usługą GitHub, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra jednokrotne logowanie (SSO) — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z B.Simon.
    2. Przypisz testowego użytkownika Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego w usłudze GitHub — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego usługi GitHub — aby mieć w usłudze GitHub odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfiguracja logowania jednokrotnego Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>, Aplikacje przedsiębiorstw>, GitHub>, Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.

    Edytowanie podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, korzystając z następującego wzorca: https://github.com/orgs/<Organization ID>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://github.com/orgs/<Organization ID>/saml/consume

    c. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://github.com/orgs/<Organization ID>/sso

    Uwaga

    Należy pamiętać, że nie są to rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. W tym miejscu zalecamy użycie unikatowej wartości ciągu w identyfikatorze. Przejdź do sekcji dotyczącej administrowania aplikacją GitHub, aby pobrać te wartości.

  6. Aplikacja GitHub oczekuje asercji SAML w określonym formacie, który wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenów SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych, natomiast unikatowy identyfikator użytkownika (identyfikator nazwy) jest mapowany z atrybutem user.userprincipalname. Aplikacja GitHub oczekuje, że unikatowy identyfikator użytkownika (identyfikator nazwy) zostanie zamapowany na user.mail, więc musisz edytować mapowanie atrybutów, wybierając ikonę Edytuj i zmieniając mapowanie atrybutów.

    Zrzut ekranu przedstawiający sekcję

  7. Na stronie Skonfiguruj pojedynczy Sign-On przy użyciu SAML, w sekcji Certyfikat podpisywania SAML, wybierz Pobierz, aby pobrać certyfikat (Base64) z dostępnych opcji zgodnie z wymaganiami i zapisać go na komputerze.

    Link pobierania certyfikatu

  8. W sekcji Konfigurowanie usługi GitHub skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika" , aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfigurowanie SSO GitHub

  1. W innym oknie przeglądarki internetowej zaloguj się do witryny organizacji usługi GitHub jako administrator.

  2. Przejdź do obszaru Ustawienia i wybierz pozycję Zabezpieczenia.

    Zrzut ekranu przedstawiający menu

  3. Zaznacz pole Włącz uwierzytelnianie SAML , ujawniając pola konfiguracji logowania jednokrotnego, wykonaj następujące kroki:

    Zrzut ekranu przedstawiający sekcję

    a. Skopiuj wartość adresu URL logowania jednokrotnego i wklej tę wartość w polu tekstowym Adres URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.

    b. Skopiuj wartość adresu URL usługi konsumenta asercji i wklej tę wartość w polu tekstowym Adres URL odpowiedzi w podstawowej konfiguracji protokołu SAML.

  4. Skonfiguruj następujące pola:

    Zrzut ekranu przedstawiający pola tekstowe

    a. W polu tekstowym Adres URL logowania wklej wartość adresu URL logowania skopiowaną wcześniej.

    b. W polu tekstowym Wystawca wklej wartość Microsoft Entra ID, którą skopiowałeś wcześniej.

    c. Otwórz pobrany certyfikat z witryny Azure Portal w Notatniku, wklej zawartość w polu tekstowym Certyfikat publiczny .

    d. Wybierz ikonę Edytuj, aby edytować metodę podpisu i metodę skrótu z RSA-SHA1 i SHA1 do RSA-SHA256 i SHA256, jak pokazano poniżej.

    e. Zaktualizuj adres URL usługi odbiorcy asercji (adres URL odpowiedzi) z domyślnego adresu URL, aby adres URL w usłudze GitHub był zgodny z adresem URL rejestracji aplikacji platformy Azure.

    Zrzut ekranu przedstawiający obraz.

  5. Wybierz pozycję Testuj konfigurację protokołu SAML, aby potwierdzić, że podczas SSO nie występują błędy ani problemy ze sprawdzaniem poprawności.

    Zrzut ekranu przedstawiający ustawienia.

  6. Wybierz Zapisz

Uwaga

Logowanie jednokrotne w GitHub uwierzytelnia użytkownika w określonej organizacji w tej platformie i nie zastępuje samego uwierzytelniania GitHub. W związku z tym jeśli sesja użytkownika w witrynie github.com wygaśnie, w czasie logowania jednokrotnego może pojawić się prośba o uwierzytelnienie za pomocą identyfikatora/hasła usługi GitHub.

Tworzenie użytkownika testowego w aplikacji GitHub

Celem tej sekcji jest utworzenie użytkownika o nazwie Britta Simon w aplikacji GitHub. Aplikacja GitHub obsługuje automatyczną aprowizację użytkowników, która jest domyślnie włączona. Więcej szczegółów można znaleźć tutaj , aby dowiedzieć się, jak skonfigurować automatyczną aprowizację użytkowników.

Jeśli musisz ręcznie utworzyć użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do firmowej witryny aplikacji GitHub jako administrator.

  2. Wybierz pozycję Osoby.

    Zrzut ekranu przedstawia witrynę usługi GitHub z wybraną opcją Osoby.

  3. Wybierz pozycję Zaproś członka.

    Zrzut ekranu przedstawiający zapraszanie użytkowników.

  4. Na stronie okna dialogowego Zapraszanie członka wykonaj następujące kroki:

    a. W polu tekstowym Email (Adres e-mail) wpisz adres e-mail konta Britta Simon.

    Zrzut ekranu przedstawiający opcję 'Zaproś osoby'.

    b. Wybierz pozycję Wyślij zaproszenie.

    Zrzut ekranu przedstawiający stronę okna dialogowego

    Uwaga

    Właściciel konta Microsoft Entra otrzyma wiadomość e-mail i użyje linku, aby potwierdzić swoje konto, zanim stanie się aktywne.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra z następującymi opcjami.

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do adresu URL logowania w usłudze GitHub, w którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania w usłudze GitHub i z tego miejsca rozpocznij proces logowania.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka GitHub w obszarze Moje aplikacje ta opcja przekierowuje do adresu URL logowania w usłudze GitHub. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Po skonfigurowaniu usługi GitHub możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.