Compartilhar via


Configurar um GitHub Enterprise Cloud Organization para logon único com a ID do Microsoft Entra

Neste artigo, você aprenderá a integrar um GitHub Enterprise Cloud Organization à ID do Microsoft Entra. Ao integrar uma organização do GitHub Enterprise Cloud com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso à sua organização do GitHub Enterprise Cloud.
  • Gerenciar o acesso à sua organização do GitHub Enterprise Cloud em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

Descrição do cenário

Neste artigo, você configurará e testará o logon único do Microsoft Entra em um ambiente de teste.

Para configurar a integração do GitHub no Microsoft Entra ID, você precisa adicionar o GitHub da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.
  2. Navegue até Entrar ID>Aplicativos empresariais>Novo aplicativo.
  3. Na seção Adicionar por meio da galeria , digite GitHub na caixa de pesquisa.
  4. Selecione GitHub Enterprise Cloud – Organização no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativos Empresariais. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e também percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o SSO do Microsoft Entra para GitHub

Configure e teste o SSO do Microsoft Entra com o GitHub usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no GitHub.

Para configurar e testar o SSO do Microsoft Entra com o GitHub, execute as seguintes etapas:

  1. Configure o SSO do Microsoft Entra para permitir que os usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra para testar o single sign-on do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o SSO do GitHub – para definir as configurações de logon único no lado do aplicativo.
    1. Crie um usuário de teste do GitHub para ter uma contraparte de B.Simon no GitHub que esteja vinculada à representação do usuário do Microsoft Entra.
  3. Testar o SSO – para verificar se a configuração funciona.

Configurar o SSO do Microsoft Entra

Siga estas etapas para habilitar o SSO do Microsoft Entra.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos na Nuvem.

  2. Navegue até Entra ID>Aplicativos empresariais>GitHub>Logon único.

  3. Na página Selecionar um método de logon único , selecione SAML.

  4. Na página Configurar logon único com SAML, selecione o ícone de lápis da Configuração Básica do SAML para editar os parâmetros.

    Editar Configuração Básica do SAML

  5. Na seção Configuração Básica do SAML , insira os valores dos seguintes campos:

    um. Na caixa de texto Identificador (ID da Entidade), digite uma URL usando o seguinte padrão: https://github.com/orgs/<Organization ID>

    b. Na caixa de texto URL de Resposta , digite uma URL usando o seguinte padrão: https://github.com/orgs/<Organization ID>/saml/consume

    c. Na caixa de texto URL de Logon , digite uma URL usando o seguinte padrão: https://github.com/orgs/<Organization ID>/sso

    Observação

    Observe que esses não são os valores reais. Você precisa atualizar esses valores com o Identificador, a URL de Resposta e a URL de Logon reais. Aqui, sugerimos que você use o valor exclusivo de cadeia de caracteres no Identificador. Acesse a seção Administração do GitHub para recuperar esses valores.

  6. Seu aplicativo GitHub espera as declarações de SAML em um formato específico, o que exige que você adicione mapeamentos de atributo personalizados de acordo com sua configuração de atributos do token SAML. A captura de tela a seguir mostra a lista de atributos padrão, enquanto o Identificador de Usuário Exclusivo (ID de Nome) é mapeado com user.userprincipalname. O aplicativo GitHub espera que o Identificador de Usuário Exclusivo (ID do Nome) seja mapeado com user.mail, portanto, você precisa editar o mapeamento de atributo selecionando o ícone Editar e alterar o mapeamento de atributo.

    Captura de tela que mostra a seção

  7. Na página Configurar Sign-On Único com SAML, na seção Certificado de Assinatura SAML, selecione Baixar para fazer o download do Certificado (Base64) das opções fornecidas de acordo com suas necessidades e salvá-lo em seu computador.

    O link de download do Certificado

  8. Na seção Configurar o GitHub , copie as URLs apropriadas de acordo com suas necessidades.

    Copiar URLs de configuração

Criar e atribuir um usuário de teste do Microsoft Entra

Siga as diretrizes no guia de início rápido criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o SSO do GitHub

  1. Em outra janela do navegador da Web, faça logon em seu site de organização do GitHub como administrador.

  2. Navegue até Configurações e selecione Segurança.

    Captura de tela que mostra o menu

  3. Marque a caixa de seleção Habilitar autenticação SAML, o que revelará os campos de configuração do Single Sign-on, e execute as seguintes etapas:

    Captura de tela que mostra a seção

    um. Copie o valor da URL de logon único e cole esse valor na caixa de texto URL de Logon na Configuração Básica do SAML.

    b. Copie o valor da URL do serviço do consumidor de declaração e cole esse valor na caixa de texto URL de Resposta na Configuração Básica de SAML.

  4. Configure os seguintes campos:

    Captura de tela que mostra as caixas de texto

    um. Na caixa de texto URL de Sign-on, cole o valor de URL de Login que você copiou anteriormente.

    b. Na caixa de texto Emissor, cole o valor que você copiou anteriormente do Identificador do Microsoft Entra.

    c. Abra o certificado baixado do portal do Azure no bloco de notas, cole o conteúdo na caixa de texto Certificado Público .

    d. Selecione o ícone Editar para editar o método Signature e o método Digest de RSA-SHA1 e SHA1 para RSA-SHA256 e SHA256 , conforme mostrado abaixo.

    e. Atualize a URL do serviço do consumidor de declaração (URL de Resposta) da URL padrão para que a URL no GitHub corresponda à URL no registro do aplicativo do Azure.

    Captura de tela que mostra a imagem.

  5. Selecione Testar a configuração do SAML para confirmar que não há falhas ou erros de validação durante o SSO.

    Captura de tela que mostra as Configurações.

  6. Selecione Salvar

Observação

O logon único no GitHub autentica-se em uma organização específica no GitHub e não substitui a autenticação do GitHub em si. Portanto, se a sessão do github.com do usuário expirou, você poderá ser solicitado a autenticar-se com a ID/senha do GitHub durante o processo de logon único.

Criar um usuário de teste do GitHub

O objetivo desta seção é criar um usuário chamado Britta Simon no GitHub. O GitHub dá suporte ao provisionamento automático de usuário, que está habilitado por padrão. Você pode encontrar mais detalhes aqui sobre como configurar o provisionamento automático de usuário.

Se você precisar criar o usuário manualmente, execute as seguintes etapas:

  1. Faça logon em seu site de empresa do GitHub como administrador.

  2. Selecione Pessoas.

    A captura de tela mostra o site do GitHub com Pessoas selecionadas.

  3. Selecione Convidar membro.

    Captura de tela que mostra os Usuários convidados.

  4. Na página da caixa de diálogo Convidar membro , execute as seguintes etapas:

    um. Na caixa de texto Email, digite o endereço de email da conta de Britta Simon.

    Captura de tela que mostra as Pessoas convidadas.

    b. Selecione Enviar Convite.

    Captura de tela que mostra a página de diálogo

    Observação

    O titular da conta do Microsoft Entra receberá um email e clicará em um link para confirmar sua conta antes que ela se torne ativa.

Testar o SSO

Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.

  • Selecione Testar este aplicativo, essa opção redireciona para a URL de Logon do GitHub, na qual você pode iniciar o fluxo de logon.

  • Acesse a URL de Entrada do GitHub diretamente e inicie o fluxo de logon desse local.

  • Você pode usar os Meus Aplicativos da Microsoft. Quando você seleciona o bloco do GitHub em Meus Aplicativos, essa opção redireciona para a URL de Logon do GitHub. Para obter mais informações sobre meus aplicativos, consulte Introdução aos Meus Aplicativos.

Depois de configurar o GitHub, você poderá impor o controle de sessão, que fornece proteção contra exfiltração e infiltração dos dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender para Aplicativos de Nuvem.