Руководство по интеграции единого входа Microsoft Entra с управляемым пользователем GitHub Enterprise
В этом руководстве вы узнаете, как интегрировать управляемого пользователя GitHub Enterprise (EMU) с идентификатором Microsoft Entra. Интеграция управляемого пользователя GitHub Enterprise с идентификатором Microsoft Entra можно:
- Контроль доступа к управляемому пользователю GitHub Enterprise с помощью идентификатора Microsoft Entra ID.
- Включите автоматический вход пользователей в GitHub Enterprise User с помощью учетных записей Microsoft Entra.
- Управление учетными записями в одном центральном расположении.
Примечание.
Управляемые пользователи GitHub Enterprise — это функция GitHub Enterprise Cloud, которая отличается от стандартной реализации единого входа SAML в GitHub Enterprise. Если вы явно не запрашивали экземпляр EMU, у вас стандартный план GitHub Enterprise Cloud. В этом случае обратитесь к соответствующей документации по настройке организации, отличной от EMU, или корпоративной учетной записи для проверки подлинности с помощью идентификатора Microsoft Entra.
Необходимые компоненты
Чтобы приступить к работе, потребуется следующее.
- Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
- Подписка GitHub Enterprise Managed User с поддержкой единого входа.
Описание сценария
В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- Управляемый пользователь GitHub Enterprise поддерживает единый вход, инициированный поставщиком услуг и поставщиком удостоверений .
- GitHub Enterprise Managed User требует автоматической подготовки пользователей.
Добавление GitHub Enterprise Managed User из коллекции
Чтобы настроить интеграцию управляемого пользователя GitHub Enterprise с идентификатором Microsoft Entra ID, необходимо добавить GitHub Enterprise Managed User из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В поле поиска введите управляемый пользователь GitHub Enterprise.
- Выберите Управляемый пользователь GitHub Enterprise на панели результатов и нажмите кнопку Создать. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для управляемого пользователя GitHub Enterprise
Чтобы настроить и проверить единый вход Microsoft Entra в GitHub Enterprise, выполните следующие действия.
- Настройте единый вход Microsoft Entra, чтобы включить Единый вход SAML в клиенте Microsoft Entra.
- Настройка единого входа в GitHub Enterprise Managed User необходима, чтобы настроить параметры единого входа в GitHub Enterprise.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise GitHub Enterprise>с единым входом.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.
Перед началом работы убедитесь, что у вас есть корпоративный URL-адрес. Поле СУЩНОСТЬ, упоминаемое ниже, — это корпоративное название корпоративного URL-адреса с поддержкой EMU. Например, https://github.com/enterprises/contoso - contoso — это СУЩНОСТЬ. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML введите значения следующих полей.
a. В текстовом поле Идентификатор введите URL-адрес в следующем формате:
https://github.com/enterprises/<ENTITY>
.Примечание.
Обратите внимание, что формат идентификатора отличается от рекомендуемого формата приложения. Используйте формат, указанный выше. Кроме того, убедитесь, что в конце **идентификатора нет косой черты.
b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате:
https://github.com/enterprises/<ENTITY>/saml/consume
.Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия.
В текстовом поле URL-адрес входа введите URL-адрес в формате
https://github.com/enterprises/<ENTITY>/sso
.На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" найдите сертификат (PEM) и выберите сертификат PEM, чтобы скачать сертификат PEM, чтобы скачать сертификат и сохранить его на компьютере.
В разделе Настройка GitHub Enterprise Managed User скопируйте приведенные ниже URL-адреса и сохраните их для дальнейшей настройки GitHub.
Назначение тестового пользователя Microsoft Entra
В этом разделе вы назначите свою учетную запись GitHub Enterprise Managed User для завершения настройки единого входа.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям Identity>Applications>Enterprise>GitHub Enterprise.
- На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
- Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
- В диалоговом окне Пользователи и группы выберите свою учетную запись в списке пользователей, а затем нажмите кнопку Выбрать в нижней части экрана.
- В диалоговом окне Выбор роли выберите роль Владелец предприятия, а затем нажмите кнопку Выбрать в нижней части экрана. Ваша учетная запись назначается в качестве владельца предприятия для экземпляра GitHub при подготовке учетной записи в следующем руководстве.
- В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка единого входа в GitHub Enterprise Managed User
Чтобы настроить единый вход на стороне GitHub Enterprise Managed User, вам потребуются следующие элементы.
- URL-адреса из приложения управляемого пользователя Microsoft Entra Enterprise выше: URL-адрес входа; Идентификатор Microsoft Entra; и URL-адрес выхода
- Имя учетной записи и пароль первого пользователя с правами администратора GitHub Enterprise. Учетные данные предоставляются в электронном сообщении для сброса пароля от вашего контакта GitHub Solutions Engineering.
Включение единого входа SAML в GitHub Enterprise Managed User
В этом разделе описаны сведения, указанные выше из идентификатора Microsoft Entra, и введите их в параметры предприятия, чтобы включить поддержку единого входа.
- Перейдите по адресу https://github.com
- Щелкните "Войти" в верхнем правом углу.
- Введите учетные данные для первой учетной записи пользователя с правами администратора. Дескриптор имени для входа должен иметь следующий формат:
<your enterprise short code>_admin
. - Перейдите к
https://github.com/enterprises/
<your enterprise name>
. Эти сведения должно предоставить контактное лицо Solutions Engineering. - В меню навигации слева выберите параметры, а затем безопасность проверки подлинности.
- Установите флажок "Требовать проверку подлинности SAML"
- Введите URL-адрес для входа. Этот URL-адрес — это URL-адрес входа, скопированный выше из идентификатора Microsoft Entra.
- Введите издателя. Этот URL-адрес — это идентификатор Microsoft Entra, скопированный выше из идентификатора Microsoft Entra.
- Введите общедоступный сертификат. Откройте ранее скачанный сертификат base64 и вставьте текстовое содержимое этого файла в это диалоговое окно.
- Щелкните Тестировать конфигурацию SAML. Откроется диалоговое окно для входа с учетными данными Microsoft Entra, чтобы убедиться, что единый вход SAML настроен правильно. Войдите с помощью учетных данных Microsoft Entra. В случае успешной проверки вы получите сообщение Пройдено: идентификатор единого входа SAML прошел проверку подлинности.
- Щелкните Сохранить, чтобы сохранить эти настройки.
- Сохраните (скачайте, распечатайте или скопируйте) коды восстановления в безопасном месте.
- Установите флажок Включить проверку подлинности SAML.
- Теперь вход в Enterprise возможен только для учетных записей с единым входом. Выполните инструкции из следующего документа по подготовке, чтобы подготовить учетные записи, для которых включен единый вход.
Следующие шаги
GitHub Enterprise Managed User требует создания всех учетных записей посредством автоматической подготовки пользователей. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.