共用方式為

教學課程:將 Microsoft Entra SSO 與 GitHub Enterprise Cloud - Enterprise 帳戶整合

  • 發行項

在本教學課程中,您將瞭解如何設定 Microsoft Entra SAML 與 GitHub Enterprise Cloud - Enterprise 帳戶的整合。 當您將 GitHub Enterprise Cloud - Enterprise 帳戶與 Microsoft Entra ID 整合後,您可以:

  • 在 Microsoft Entra ID 中控制可存取 GitHub Enterprise 帳戶及帳戶內任何組織的人員。

必要條件

若要開始使用,您需要下列項目:

案例描述

在本教學課程中,您將設定 GitHub Enterprise 帳戶的 SAML 整合,並測試企業帳戶擁有者和企業/組織成員驗證和存取。

注意

GitHub Enterprise Cloud - Enterprise Account 應用程式不支援 自動 SCIM 佈建。 如果您需要設定 GitHub Enterprise 雲端環境佈建,則必須在組織層級設定 SAML,而且必須改用 GitHub Enterprise Cloud - Organization Microsoft Entra 應用程式。 如果您要為已啟用 Enterprise Managed Users (EMUs) 的企業設定 SAML 和 SCIM 佈建整合,則必須針對 SAML/佈建整合使用 GitHub Enterprise Managed User Microsoft Entra 應用程式,或針對 OIDC/佈建整合使用 GitHub Enterprise Managed User (OIDC) Microsoft Entra 應用程式。

  • GitHub Enterprise Cloud - 企業帳戶支援由 SPIDP 起始的 SSO。

從資源庫新增 GitHub Enterprise Cloud - 企業帳戶

若要設定 GitHub Enterprise Cloud - Enterprise 帳戶與 Microsoft Entra ID 整合,您需要從資源庫將 GitHub Enterprise Cloud - Enterprise 帳戶新增至受控 SaaS 應用程式清單。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]> [新增應用程式]
  3. 在 [從資源庫新增] 區段的搜尋方塊中,輸入 GitHub Enterprise Cloud - 企業帳戶
  4. 從 [結果] 面板中選取 [GitHub Enterprise Cloud - 企業帳戶],然後新增應用程式。 將應用程式新增至您的租用戶時,請稍候幾秒鐘。

或者,您也可以使用企業應用程式組態精靈。 在此精靈中,您可以將應用程式新增至租用戶、將使用者/群組新增至應用程式、指派角色,以及逐步進行 SSO 設定。 深入了解 Microsoft 365 精靈。

設定和測試適用於 GitHub Enterprise Cloud - Enterprise 帳戶的 Microsoft Entra SSO

以名為 B.Simon 的測試使用者,設定及測試與 GitHub Enterprise Cloud - 企業帳戶搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 GitHub Enterprise Cloud - Enterprise 帳戶中相關使用者之間的連結關聯性。

若要對 GitHub Enterprise Cloud - Enterprise 帳戶設定並測試 Microsoft Entra SSO,請執行下列步驟:

  1. 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
    1. 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
    2. 將您的 Microsoft Entra 使用者和測試使用者帳戶指派給 GitHub 應用程式 - 讓您的使用者帳戶和測試使用者 B.Simon 能夠使用 Microsoft Entra 單一登入。
  2. 為 Enterprise 帳戶及其組織啟用和測試 SAML - 在應用程式端設定單一登入設定。
    1. 使用其他 Enterprise 帳戶擁有者或組織成員帳戶來測試 SSO - 確認設定是否可運作。

設定 Microsoft Entra SSO

遵循下列步驟來啟用 Microsoft Entra SSO。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]>[GitHub Enterprise Cloud - Enterprise 帳戶]> [單一登入]

  3. 在 [選取單一登入方法] 頁面上,選取 [SAML]

  4. 在 [以 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 設定] 的鉛筆圖示,以編輯設定。

    編輯基本 SAML 組態

  5. 在 [基本 SAML 組態] 區段上,執行下列步驟:

    a. 在 [識別碼 (實體識別碼)] 文字方塊中,使用下列模式輸入 URL:https://github.com/enterprises/<ENTERPRISE-SLUG>

    b. 在 [回覆 URL] 文字方塊中,使用下列模式來輸入 URL:https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

  6. 如果您想要以 SP 起始模式設定應用程式,請執行下列步驟:

    在 [登入 URL] 文字方塊中,使用下列模式輸入 URL:https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

    注意

    請將 <ENTERPRISE-SLUG> 取代為您 GitHub Enterprise 帳戶的實際名稱。

  7. 在 [使用 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證] 區段中,尋找 [憑證 (Base64)],然後選取 [下載] 以下載憑證並儲存在電腦上。

    憑證下載連結

  8. 在 [設定 GitHub Enterprise Cloud - 企業帳戶] 區段上,根據您的需求複製適當的 URL。

    複製組態 URL

建立 Microsoft Entra 測試使用者

在本節中,您會在 Azure 入口網站中建立名為 B.Simon 的測試使用者。

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。
  3. 選取畫面頂端的 [新增使用者]> [建立新的使用者]
  4. 在 [使用者] 屬性中,執行下列步驟:
    1. [顯示名稱] 欄位中,輸入 B.Simon
    2. [使用者主體名稱] 欄位中,輸入 username@companydomain.extension。 例如: B.Simon@contoso.com
    3. 選取 [顯示密碼] 核取方塊,然後記下 [密碼] 方塊中顯示的值。
    4. 選取 [檢閱 + 建立]。
  5. 選取 建立

將您的 Microsoft Entra 使用者和測試使用者帳戶指派給 GitHub 應用程式

在本節中,您會將 GitHub Enterprise Cloud - Enterprise 帳戶的存取權授與 B.Simon,讓其能夠使用 Azure 單一登入。

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]> [應用程式]> [企業應用程式]>[GitHub Enterprise Cloud - Enterprise 帳戶]
  3. 在應用程式的 [概觀] 頁面中,尋找 [管理] 區段,然後選取 [使用者和群組]
  4. 選取 [新增使用者],然後在 [新增指派] 對話方塊中選取 [使用者和群組]
  5. 在 [使用者和群組] 對話方塊的 [使用者] 清單中,選取 [B.Simon] 和您的使用者帳戶,然後按一下畫面底部的 [選取] 按鈕。
  6. 如果您預期將角色指派給使用者,則可以從 [選取角色] 下拉式清單中選取該角色。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取權] 角色。
  7. 在 [新增指派] 對話方塊中,按一下 [指派] 按鈕。

為 Enterprise 帳戶及其組織啟用和測試 SAML

若要在 GitHub Enterprise Cloud - Enterprise 帳戶 端設定單一登入,請執行此 GitHub 文件中列出的步驟。

  1. 使用屬於 Enterprise 帳戶擁有者的使用者帳戶登入 GitHub.com。
  2. 複製應用程式的 Login URL 欄位中的值,並將其貼到 [GitHub Enterprise 帳戶 SAML 設定] 的 Sign on URL 欄位中。
  3. 複製應用程式的 Azure AD Identifier 欄位中的值,並將其貼到 [GitHub Enterprise 帳戶 SAML 設定] 的 Issuer 欄位中。
  4. 複製您在上述步驟中從 Azure 入口網站下載的 [憑證 (Base64)] 檔案的內容,並將其貼到 [GitHub Enterprise 帳戶 SAML 設定] 的適當欄位中。
  5. 按一下 Test SAML configuration,並確認您能夠從 GitHub Enterprise 帳戶成功地向 Microsoft Entra ID 進行驗證。
  6. 測試成功後,請儲存設定。
  7. 第一次從 GitHub Enterprise 帳戶透過 SAML 進行驗證後,會在 GitHub Enterprise 帳戶中建立連結的外部身分識別,將已登入的 GitHub 使用者帳戶與 Microsoft Entra 使用者帳戶產生關聯。

為您的 GitHub Enterprise 帳戶啟用 SAML SSO 後,您的 Enterprise 帳戶所擁有的所有組織依預設都會啟用 SAML SSO。 所有成員都必須使用 SAML SSO 進行驗證,以取得其所屬組織的存取權,而企業擁有者則需要在存取 Enterprise 帳戶時使用 SAML SSO 進行驗證。

使用其他 Enterprise 帳戶擁有者或組織成員帳戶來測試 SSO

為 GitHub Enterprise 帳戶設定 SAML 整合後 (也適用於 Enterprise 帳戶中的 GitHub 組織),對 Microsoft Entra ID 中的應用程式指派的其他 Enterprise 帳戶擁有者應該能夠瀏覽至 GitHub Enterprise 帳戶 URL (https://github.com/enterprises/<enterprise account>)、透過 SAML 進行驗證,以及存取 GitHub Enterprise 帳戶下的原則和設定。

Enterprise 帳戶中所含組織的組織擁有者,應該能夠邀請使用者加入其 GitHub 組織。 請使用組織擁有者帳戶登入 GitHub.com,並依照文章中的步驟邀請 B.Simon 加入組織。 如果 B.Simon 還沒有 GitHub 使用者帳戶,則必須為其建立此帳戶。

若要使用 B.Simon 測試使用者帳戶測試 Enterprise 帳戶下的 GitHub 組織存取:

  1. 以組織擁有者的身分,邀請 B.Simon 加入 Enterprise 帳戶下的組織。
  2. 使用您要連結至 B.Simon Microsoft Entra 使用者帳戶的使用者帳戶登入 GitHub.com。
  3. 使用 B.Simon 帳戶登入 Microsoft Entra ID。
  4. 移至 GitHub 組織。 系統應該會提示使用者透過 SAML 進行驗證。 SAML 驗證成功後,B.Simon 應該就可以存取組織資源。

下一步

設定 GitHub Enterprise Cloud - 企業帳戶後,您可以強制執行工作階段控制項,以即時防止組織的敏感資料遭到外洩和滲透。 工作階段控制項會從條件式存取延伸。 了解如何使用適用於雲端的 Microsoft Defender 應用程式來強制執行工作階段控制項