Настройка GitHub Enterprise Server для единого входа с помощью идентификатора Microsoft Entra

Из этой статьи вы узнаете, как интегрировать GitHub Enterprise Server с идентификатором Microsoft Entra. Когда вы интегрируете GitHub Enterprise Server с Microsoft Entra ID, вы сможете:

• Контролируйте, кто имеет доступ к GitHub Enterprise Server через Microsoft Entra ID.
• Включите автоматический вход пользователей в GitHub Enterprise Server с помощью учетных записей Microsoft Entra.
• Управляйте учетными записями в одном центральном месте.

Предпосылки

Чтобы приступить к работе, вам потребуется следующее:

• Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись .
• GitHub Enterprise Server, готовый к инициализации.
• Наряду с администратором облачных приложений, администратор приложений также может добавлять или управлять приложениями в Microsoft Entra ID. См. дополнительные сведения о встроенных ролях Azure.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• GitHub Enterprise Server поддерживает единый вход (SSO), инициированный поставщиком услуг (SP) и поставщиком удостоверений (IDP).
• GitHub Enterprise Server поддерживает подготовку пользователей «по требованию».
• GitHub Enterprise Server поддерживает автоматическую подготовку пользователей.

Замечание

В GitHub Enterprise Server настоящее время приложение не поддерживает ни одну из облачных платформ государственных организаций.

Добавление GitHub Enterprise Server из галереи

Чтобы настроить интеграцию GitHub Enterprise Server с идентификатором Microsoft Entra ID, необходимо добавить GitHub Enterprise Server из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.
2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
3. В разделе "Добавление из коллекции " в поле поиска введите GitHub Enterprise Server .
4. Выберите GitHub Enterprise Server на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли и выполнить настройку единого входа. Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для GitHub Enterprise Server

Настройте и проверьте единый вход Microsoft Entra в GitHub Enterprise Server с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в GitHub Enterprise Server.

Чтобы настроить и проверить единый вход Microsoft Entra в GitHub Enterprise Server, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы ваши пользователи могли воспользоваться этой функцией.
   1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначить тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать единый вход Microsoft Entra.
2. Настройте SSO для GitHub Enterprise Server, чтобы задать параметры единого входа на стороне приложения.
   1. Создайте тестового пользователя GitHub Enterprise Server, чтобы иметь в GitHub Enterprise Server пользователя-эквивалент B.Simon, связанного с представлением пользователя Microsoft Entra.
3. Тестирование SSO, чтобы проверить, работает ли конфигурация.

Настройка SSO Microsoft Entra

Выполните следующие действия, чтобы включить единую регистрацию Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью не ниже администратора облачных приложений.

2. Перейдите к Entra ID>Enterprise приложениям>GitHub Enterprise Server>Единый вход.

3. На странице «Выбор метода единого входа» выберите вариант SAML.

4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

   

5. В разделе "Базовая конфигурация SAML" , если вы хотите настроить приложение в режиме, инициированном поставщиком удостоверений , выполните следующие действия.

   a. В текстовом поле "Идентификатор сущности" введите URL-адрес, используя следующий шаблон: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>

   б. В текстовом поле "URL-адрес ответа" введите URL-адрес, используя следующий шаблон: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/saml/consume

6. Выберите "Задать дополнительные URL-адреса " и выполните следующий шаг, если вы хотите настроить приложение в режиме, инициированном поставщиком служб :

   В текстовом поле URL-адреса входа введите URL-адрес , используя следующий шаблон: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/sso

   Замечание

   Эти значения не являются реальными. Обновите эти значения фактическим идентификатором, URL-адресом ответа и URL-адресом входа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов GitHub Enterprise Server . Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML ".

7. Приложение GitHub Enterprise Server ожидает утверждения SAML в определенном формате, который требует добавления настраиваемых сопоставлений атрибутов в конфигурацию атрибутов токена SAML. На следующем снимка экрана показан список атрибутов по умолчанию.

   

8. Изменение атрибутов пользователей и утверждений.

9. Выберите Добавить новый параметр и введите имя как administrator в текстовом поле (значение administrator учитывает регистр).

10. Разверните условия утверждения и выберите "Члены " из типа пользователя.

11. Выберите группы и найдите группу , в которую вы хотите включить это утверждение, где его члены должны быть администраторами для GHES.

12. Выберите атрибут для источника и введите true (без кавычки) для значения.

13. Нажмите кнопку "Сохранить".

    

14. На странице "Настройка единого входа с помощью SAML " в разделе "Сертификат подписи SAML " найдите сертификат (Base64) и выберите "Скачать ", чтобы скачать сертификат и сохранить его на компьютере.

    

15. В разделе "Настройка GitHub Enterprise Server" скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

    

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям из краткого руководства «Создание и назначение учетной записи пользователя», чтобы создать тестовую учетную запись пользователя с именем B.Simon.

Настройка единого входа в GitHub Enterprise Server

Чтобы настроить единый вход на стороне GitHub Enterprise Server, необходимо выполнить описанные здесь инструкции.

Создание тестового пользователя GitHub Enterprise Server

В этом разделе пользователь с именем B.Simon создается в GitHub Enterprise Server. GitHub Enterprise Server поддерживает динамическое предоставление пользователей, которое включено по умолчанию. В этом разделе нет элемента действия. Если пользователь еще не существует в GitHub Enterprise Server, он создается после проверки подлинности.

GitHub Enterprise Server также поддерживает автоматическую подготовку пользователей. Дополнительные сведения о настройке автоматической подготовки пользователей см. здесь .

Проверка единого входа

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

Инициировано провайдером услуг:

• Выберите "Тестировать это приложение", этот параметр перенаправляется по URL-адресу для входа в GitHub Enterprise Server, где можно инициировать поток входа.

• Перейдите непосредственно по URL-адресу страницы входа в GitHub Enterprise Server и инициируйте процесс входа.

Инициировано удостоверяющим центром:

• Выберите "Тестировать это приложение", и вы автоматически войдете в GitHub Enterprise Server, для которого настроили единый вход.

Вы также можете использовать Microsoft My Apps для тестирования приложения в любом режиме. При выборе плитки GitHub Enterprise Server в My Apps, если настроено в режиме SP, вы будете перенаправлены на страницу входа приложения для инициализации процесса входа, а если настроено в режиме поставщика удостоверений (IDP), вы автоматически войдете в GitHub Enterprise Server, для которого настроили единый вход (SSO). Дополнительные сведения см. в разделе Microsoft Entra My Apps.

Связанный контент

• Настройка провижнинга SCIM для управления пользователями.

• После настройки GitHub Enterprise Server вы можете применить функцию управления сеансом, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Управление сеансом является расширением условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.