Настройка предприятия GitHub с корпоративными управляемыми пользователями для единого входа SAML с помощью идентификатора Microsoft Entra

В этой статье вы узнаете, как настроить интеграцию SAML для предприятия GitHub с корпоративными управляемыми пользователями с идентификатором Microsoft Entra. Настройка интеграции проверки подлинности SAML или OIDC в дополнение к настройке подготовки SCIM требуется для предприятия GitHub с корпоративными управляемыми пользователями. Настройка аутентификации и провизирования SCIM для предприятия GitHub с функцией управления пользователями позволяет администратору:

• Управляйте идентификатором Microsoft Entra, который имеет доступ к GitHub предприятия с корпоративными управляемыми пользователями.
• Разрешить пользователям войти в учетную запись управляемого пользователя GitHub Enterprise с помощью единого входа.
• Разверните пользователей и группы в корпоративной среде (после настройки интеграций аутентификации и подготовки SCIM). Команды GitHub можно сопоставить с группами, предоставляемыми SCIM.
• Управляйте своими учетными записями и группами в одном месте — Entra ID.

Примечание.

GitHub.com корпоративная учетная запись с корпоративными управляемыми пользователями — это определенный тип предприятия. Это определяется с помощью запроса или создания новой корпоративной учетной записи GitHub на GitHub.com. Дополнительные сведения о различных типах предприятий GitHub см. в этой статье GitHub. Если у вас нет предприятия, настроенного для корпоративных управляемых пользователей, дополнительные сведения и ссылки см. в этой статье GitHub .

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• Подписка с включенной функцией единого входа (SSO) для управляемых пользователей GitHub Enterprise.
• Предприятие GitHub, настроенное для корпоративных управляемых пользователей.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Управляемый пользователь GitHub Enterprise поддерживает как единый вход, инициированный провайдером услуг (SP), так и провайдером удостоверений (IDP).
• GitHub Enterprise Managed User требует автоматической подготовки пользователей.

Примечание.

В настоящее время приложение GitHub Enterprise Managed User не поддерживает ни одну из облачных платформ государственных организаций.

Добавление управляемого пользователя GitHub Enterprise из галереи

Чтобы настроить интеграцию управляемого пользователя GitHub Enterprise с идентификатором Microsoft Entra ID, необходимо добавить GitHub Enterprise Managed User из галереи в список управляемых приложений SaaS.

1. Войдите в Центр администрирования системы Microsoft Entra как минимум Администратор облачных приложений.
2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
3. Введите GitHub Enterprise Managed User в поле поиска.
4. Выберите GitHub Enterprise Managed User на панели результатов и нажмите кнопку "Создать ". Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra SAML для предприятия GitHub с корпоративными управляемыми пользователями

Чтобы настроить и проверить единый вход Microsoft Entra в GitHub Enterprise, выполните следующие действия.

1. Настройте SSO Microsoft Entra - чтобы включить SAML Единый вход в клиенте Microsoft Entra.
2. Настройка GitHub Enterprise Managed User SSO необходима для конфигурации параметров единого входа в GitHub Enterprise.

Настройте SAML SSO в Microsoft Entra

Выполните следующие действия, чтобы включить Microsoft Entra SAML SSO.

1. Войдите в Центр администрирования системы Microsoft Entra как минимум Администратор облачных приложений.

2. Перейдите к Entra ID>Корпоративные приложения>GitHub Enterprise Managed User>Единый вход.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. Перед началом работы убедитесь, что у вас есть корпоративный URL-адрес. Поле СУЩНОСТЬ, упоминаемое ниже, — это корпоративное название корпоративного URL-адреса с поддержкой EMU. Например, https://github.com/enterprises/contoso - contoso — это СУЩНОСТЬ. В разделе Basic SAML Configuration, если вы хотите настроить приложение в режиме, инициируемом IDP, введите значения следующих полей.

   a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://github.com/enterprises/{enterprise}.

   Примечание.

   Обратите внимание, что формат идентификатора отличается от рекомендуемого формата приложения. Используйте формат, указанный выше. Кроме того, убедитесь, что идентификатор не содержит косую черту в конце.

   б. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://github.com/enterprises/{enterprise}/saml/consume.

6. Выберите "Задать дополнительные URL-адреса " и выполните следующий шаг, если вы хотите настроить приложение в режиме, инициированном поставщиком служб :

   В текстовом поле URL-адрес входа введите URL-адрес в формате https://github.com/enterprises/{enterprise}/sso.

7. На странице "Настройка единого входа с помощью SAML " в разделе "Сертификаты SAML " скачайте сертификат Base64 и сохраните его на компьютере.

   

8. В разделе Настройка GitHub Enterprise Managed User скопируйте приведенные ниже URL-адреса и сохраните их для дальнейшей настройки GitHub.

   

Назначение тестового пользователя Microsoft Entra

В этом разделе вы назначаете свою учетную запись управляемому пользователю GitHub Enterprise, чтобы завершить настройку единого входа.

1. Войдите в Центр администрирования системы Microsoft Entra как минимум Администратор облачных приложений.
2. Перейдите к Entra ID>Корпоративные приложения>GitHub Enterprise Managed User.
3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
5. В диалоговом окне "Пользователи и группы" выберите свою учетную запись в списке "Пользователи", а затем нажмите кнопку "Выбрать " в нижней части экрана.
6. В диалоговом окне "Выбор роли " выберите роль владельца предприятия , а затем нажмите кнопку "Выбрать " в нижней части экрана. Ваша учетная запись назначается владельцем организации для вашего экземпляра GitHub, когда вы настраиваете свою учетную запись в следующей статье.
7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка SSO для управляемых пользователей в GitHub Enterprise

Чтобы настроить единый вход на стороне GitHub Enterprise для управляемого пользователя, вам потребуется:

1. URL-адреса из приложения управляемого пользователя Microsoft Entra Enterprise выше: Login URL и Microsoft Entra Identifier.
2. Скачанный сертификат base64.
3. Имя пользователя и пароль для учетной записи настройки для предприятия GitHub.

Включение единого входа SAML в GitHub Enterprise Managed User

В этом разделе используйте информацию, предоставленную выше из Microsoft Entra ID, и внесите её в настройки предприятия для подключения единого входа.

1. Выполните действия, описанные в этой документации по GitHub , чтобы настроить проверку подлинности SAML для вашего предприятия.
2. При вводе Sign-on URLобратите внимание, что это URL-адрес входа, скопированный из идентификатора Microsoft Entra ID выше.
3. При вводе Issuerобратите внимание, что это Microsoft Entra Identifier то, что вы скопировали из приведенного выше идентификатора Microsoft Entra.
4. При вводе общедоступного сертификата откройте сертификат base64, скачанный выше, и вставьте текстовое содержимое этого файла в это диалоговое окно.
5. Выполнив действия, описанные в документации GitHub, чтобы настроить SAML-аутентификацию для вашего предприятия, доступ к организации смогут получить только пользователи предприятия, управляемые SCIM (за исключением входа с учетной записью пользователя установки и использования кода восстановления предприятия). Выполните шаги, изложенные в руководстве по провижинингу ниже, чтобы настроить SCIM-провижининг для предприятия GitHub и обеспечить управление пользователями предприятия и группами. Пользователи не смогут войти в систему и получить доступ к предприятию до тех пор, пока эти действия не будут выполнены, а учетные записи пользователей не будут подготовлены в систему SCIM на предприятии.

Связанный контент

Для управляемого пользователя GitHub Enterprise требуется создать все учетные записи с помощью автоматической подготовки пользователей (SCIM), см. дополнительные сведения о настройке автоматической подготовки пользователей.