Compartilhar via

Tutorial: integração do SSO do Azure Active Directory com a Conta Enterprise do GitHub Enterprise Cloud

  • Artigo

Neste tutorial, você aprende como configurar uma integração SAML do Microsoft Entra com uma Conta Enterprise do GitHub Enterprise Cloud. Ao integrar o GitHub Enterprise Cloud – Conta Empresarial ao Microsoft Entra ID, você pode:

  • Controlar no Microsoft Entra ID quem tem acesso a uma Conta Empresarial do GitHub e a todas as organizações na Conta Enterprise.

Pré-requisitos

Para começar, você precisará dos seguintes itens:

  • Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
  • Uma Conta do GitHub Enterprise.
  • Uma conta de usuário do GitHub que seja um proprietário de Conta Enterprise.

Descrição do cenário

Neste tutorial, você irá configurar uma integração SAML para uma conta do GitHub Enterprise, e testar a autenticação e o acesso do proprietário da conta da empresa e do membro da empresa/organização.

Observação

O aplicativo Enterprise Cloud - Enterprise Account do GitHub não dá suporte à habilitação do provisionamento automático do SCIM. Se você precisar configurar o provisionamento para seu ambiente do GitHub Enterprise Cloud, o SAML deve ser configurado no nível da organização e o aplicativo GitHub Enterprise Cloud - Organization do Microsoft Entra deve ser usado em seu lugar. Se você estiver configurando uma integração de provisionamento SAML e SCIM para uma empresa que esteja habilitada para os Usuários Gerenciados pela Empresa (EMUs), então você deve usar o GitHub Enterprise Managed User Aplicativo do Microsoft Entra para integrações de SAML/Provisionamento ou o GitHub Enterprise Managed User (OIDC) aplicativo do Microsoft Entra para integrações de OIDC/Provisionamento.

  • O GitHub Enterprise Cloud – Conta Empresarial dá suporte ao SSO iniciado por SP e IDP.

Adicionar o GitHub Enterprise Cloud – Conta Empresarial da galeria

Para configurar a integração do GitHub Enterprise Cloud – Conta Empresarial com o Microsoft Entra ID, você precisará adicioná-lo à sua lista de aplicativos SaaS gerenciados por meio da galeria.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite GitHub Enterprise Cloud – Conta Empresarial na caixa de pesquisa.
  4. Selecione GitHub Enterprise Cloud – Conta Empresarial no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você poderá adicionar um aplicativo ao locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para o GitHub Enterprise Cloud – Conta Empresarial

Configure e teste o SSO do Microsoft Entra com o GitHub Enterprise Cloud – Conta Empresarial usando um usuário de teste chamado B. Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no GitHub Enterprise Cloud – Conta Empresarial.

Para configurar e testar o SSO do Microsoft Entra com o GitHub Enterprise Cloud – Conta Empresarial, execute as seguintes etapas:

  1. Configurar o SSO do Microsoft Entra - para permitir que os usuários usem esse recurso.
    1. Criar um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
    2. Atribuir o usuário do Microsoft Entra e a conta de usuário de teste ao aplicativo GitHub: para habilitar sua conta de usuário e o usuário de teste B.Simon a usar o logon único do Microsoft Entra.
  2. Habilitar e testar o SAML para a conta Enterprise e as respectivas organizações : para definir as configurações de logon único no lado do aplicativo.
    1. Testar o SSO com outra conta de membro da organização ou proprietário da conta empresarial : para confirmar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>GitHub Enterprise Cloud – Enterprise Account>Logon único.

  3. Na página Selecionar um método de logon único, escolha SAML.

  4. Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.

    Edit Basic SAML Configuration

  5. Na seção Configuração básica de SAML, realize as seguintes etapas:

    a. Na caixa de texto Identificador (ID da Entidade) , digite uma URL usando o seguinte padrão: https://github.com/enterprises/<ENTERPRISE-SLUG>

    b. No URL de resposta caixa de texto, digite uma URL usando o seguinte padrão: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

  6. Execute o seguinte passo se você deseja configurar o aplicativo no modo SP iniciado:

    Na caixa de texto URL de Logon, digite uma URL usando o seguinte padrão: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

    Observação

    Substitua <ENTERPRISE-SLUG> pelo nome real da sua Conta Empresarial do GitHub.

  7. Na página Configurar Logon Único com SAML, na seção Certificado de Autenticação SAML, localize Certificado (Base64) e escolha Baixar para baixar o certificado e salvá-lo no computador.

    The Certificate download link

  8. Na seção Configurar o GitHub Enterprise Cloud – Conta Empresarial, copie as URLs apropriadas de acordo com suas necessidades.

    Copy configuration URLs

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste no portal do Azure chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
  4. Nas propriedades do Usuário, siga estas etapas:
    1. No campo Nome de exibição, insira B.Simon.
    2. No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
    4. Selecione Examinar + criar.
  5. Selecione Criar.

Atribuir o usuário do Microsoft Entra e a conta de usuário de teste ao aplicativo GitHub

Nesta seção, você permitirá que B.Simon e a conta de usuário usem o logon único do Azure permitindo acesso ao GitHub Enterprise Cloud – Conta Empresarial.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos empresariais>GitHub Enterprise Cloud – Enterprise Account.
  3. Na página de visão geral do aplicativo, localize a seção Gerenciar e escolha Usuários e grupos.
  4. Escolha Adicionar usuário e, em seguida, Usuários e grupos na caixa de diálogo Adicionar Atribuição.
  5. Na caixa de diálogo Usuários e grupos, selecione B.Fernandes e a conta de usuário na lista Usuários e clique no botão Selecionar na parte inferior da tela.
  6. Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
  7. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Habilitar e testar o SAML para a Conta Enterprise e as respectivas organizações

Para configurar o logon único no lado do GitHub Enterprise Cloud – Conta Empresarial, siga as etapas listadas nesta documentação do GitHub.

  1. Entre no GitHub.com com uma conta de usuário que seja um proprietário de conta empresarial.
  2. Copie o valor do campo Login URL no aplicativo e cole-o no campo Sign on URL nas configurações de SAML da Conta Empresarial do GitHub.
  3. Copie o valor do campo Azure AD Identifier no aplicativo e cole-o no campo Issuer nas configurações de SAML da Conta Empresarial do GitHub.
  4. Copie o conteúdo do arquivo Certificado (Base64) baixado nas etapas acima do portal do Azure e cole-o no campo apropriado nas configurações de SAML da Conta Empresarial do GitHub.
  5. Clique em Test SAML configuration e confirme se você pode se autenticar por meio da Conta Empresarial do GitHub no Microsoft Entra ID com êxito.
  6. Depois que o teste for bem-sucedido, salve as configurações.
  7. Depois de se autenticar por meio do SAML pela primeira vez na Conta Empresarial do GitHub, uma identidade externa vinculada será criada na Conta Empresarial do GitHub que associa a conta de usuário do GitHub conectada à conta de usuário do Microsoft Entra.

Depois que você habilitar o SSO do SAML para a sua Conta Empresarial do GitHub, o SSO do SAML será habilitado por padrão em todas as organizações pertencentes à sua Conta Corporativa. Todos os membros precisarão se autenticar usando o SSO do SAML para obter acesso às organizações em que são membros, e os proprietários empresariais precisarão se autenticar usando o SSO do SAML ao acessar uma Conta Empresarial.

Testar o SSO com outra conta de membro da organização ou proprietário da conta empresarial

Depois que a integração do SAML estiver configurada para a conta empresarial do GitHub (que também se aplica às organizações do GitHub na conta empresarial), outros proprietários da conta empresarial atribuídos ao aplicativo no Microsoft Entra ID devem conseguir navegar até a URL da conta empresarial do GitHub (https://github.com/enterprises/<enterprise account>), autenticar-se por meio do SAML e acessar as políticas e as configurações na conta empresarial do GitHub.

Um proprietário de uma organização em uma conta empresarial deve conseguir convidar um usuário para participar da organização do GitHub. Entre no GitHub.com com uma conta de proprietário da organização e siga as etapas descritas no artigo para convidar B.Simon para a organização. Será necessário criar uma conta de usuário do GitHub para B.Simon se ainda não houver uma.

Para testar o acesso à organização do GitHub na Conta Empresarial com a conta de usuário de teste B.Simon:

  1. Convide B.Simon para uma organização na Conta Empresarial como um proprietário da organização.
  2. Entre no GitHub.com usando a conta de usuário que deseja vincular à conta de usuário B.Simon do Microsoft Entra.
  3. Entre no Microsoft Entra ID usando a conta de usuário B.Simon.
  4. Acesse a organização do GitHub. O usuário precisará se autenticar por meio do SAML. Após a autenticação SAML bem-sucedida, B.Simon deverá conseguir acessar os recursos da organização.

Próximas etapas

Depois de configurar o GitHub Enterprise Cloud – Conta Empresarial, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais de sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.