Integrazione di Microsoft Entra SSO con GitHub Enterprise Cloud - Enterprise Account

Questo articolo illustra come configurare un'integrazione SAML di Microsoft Entra con un account GitHub Enterprise Cloud - Enterprise Account. Integrando GitHub Enterprise Cloud - Enterprise Account con Microsoft Entra ID, è possibile:

• Controllare in Microsoft Entra ID chi può accedere a un account GitHub Enterprise e a qualsiasi organizzazione all'interno dell'account aziendale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non ne hai già uno, puoi creare un account gratuitamente.
• Uno dei ruoli seguenti:
  • amministratore di applicazioni
  • amministratore di applicazioni cloud
  • proprietario dell'applicazione.

• Un account di GitHub Enterprise.
• Un account utente GitHub proprietario di un account aziendale.

Descrizione dello scenario

In questo articolo viene configurata un'integrazione SAML per un account GitHub Enterprise e viene testato l'autenticazione e l'accesso dei membri dell'organizzazione e del proprietario dell'account aziendale e dell'organizzazione.

Nota

L'applicazione GitHub Enterprise Cloud - Enterprise Account non supporta l'abilitazione del provisioning automatico SCIM . Se è necessario configurare il provisioning per l'ambiente GitHub Enterprise Cloud, SAML deve essere impostato a livello di organizzazione e al suo posto deve essere usata l'applicazione Microsoft Entra GitHub Enterprise Cloud - Organization. Se si configura un'integrazione del provisioning SAML e SCIM per un'azienda abilitata per enterprise Managed Users (EMU), è necessario usare l'applicazione GitHub Enterprise Managed User Microsoft Entra per le integrazioni SAML/Provisioning o l'applicazione Microsoft Entra GitHub Enterprise Managed User (OIDC) per le integrazioni OIDC/Provisioning.

• GitHub Enterprise Cloud - Enterprise Account supporta SP e SSO iniziato da IDP .

Aggiungere GitHub Enterprise Cloud - Enterprise Account dalla raccolta

Per configurare l'integrazione di GitHub Enterprise Cloud - Enterprise Account in Microsoft Entra ID, è necessario aggiungere GitHub Enterprise Cloud - Enterprise Account dalla raccolta all'elenco di app SaaS gestite.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud.
2. Passare a Identity>Applications>Enterprise applications>New application.
3. Nella sezione Aggiungi dalla raccolta digitare GitHub Enterprise Cloud - Enterprise Account nella casella di ricerca.
4. Selezionare GitHub Enterprise Cloud - Enterprise Account nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tuo tenant.

In alternativa, è anche possibile usare Assistente di configurazione dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli e seguire anche la configurazione dell'accesso SSO. Scopri di più sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO di Microsoft Entra per GitHub Enterprise Cloud - Enterprise Account

Configurare e testare l'accesso SSO di Microsoft Entra con GitHub Enterprise Cloud - Enterprise Account usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in GitHub Enterprise Cloud - Enterprise Account.

Per configurare e testare l'accesso SSO di Microsoft Entra con GitHub Enterprise Cloud - Enterprise Account, seguire questa procedura:

1. Configurare il Single Sign-On (SSO) di Microsoft Entra - per consentire agli utenti di utilizzare questa funzionalità.
   1. Creare un utente di test di Microsoft Entra per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
   2. Assegna il tuo utente di Microsoft Entra e l'account utente di test all'app GitHub - per abilitare il tuo account utente e quello di test B.Simon per l'utilizzo dell'autenticazione Single Sign-On di Microsoft Entra.
2. Abilitare e testare SAML per l'account aziendale e le relative organizzazioni: per configurare le impostazioni di Single Sign-On sul lato applicazione.
   1. Testare l'accesso SSO con un altro account aziendale o un altro account membro dell'organizzazione: per verificare se la configurazione funziona.

Configurare il Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud.

2. Naviga fino a Identity>Applications>Enterprise applications>GitHub Enterprise Cloud - Enterprise Account>accesso singolo.

3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

4. Nella pagina Configura accesso Single Sign-On con SAML, selezionare l'icona a forma di matita accanto a Configurazione SAML di Base per modificare le impostazioni.

   

5. Nella sezione configurazione SAML di base seguire questa procedura:

   un. Nella casella di testo Identificatore (ID entità), digitare un URL usando il modello seguente: https://github.com/enterprises/<ENTERPRISE-SLUG>

   b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

6. Eseguire il passaggio seguente se si vuole configurare l'applicazione in SP modalità avviata:

   Nella casella di testo URL di accesso digitare un URL usando il modello seguente: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

   Nota

   Sostituire <ENTERPRISE-SLUG> con il nome effettivo dell'account GitHub Enterprise.

7. Nella pagina Configura accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML, individuare il Certificato (Base64) e selezionare Download per scaricare il certificato e salvarlo nel computer.

   

8. Nella sezione Configura GitHub Enterprise Cloud - Enterprise Account copiare gli URL appropriati in base alle esigenze.

   

Creare un utente di test di Microsoft Entra

In questa sezione viene creato un utente di test nel portale di Azure denominato B.Simon.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore utente .
2. Passare a Identity>Users>Tutti gli utenti.
3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
4. Nelle proprietà User seguire questa procedura:
   1. Nel campo Nome visualizzato immettere B.Simon.
   2. Nel campo Nome utente principale immettere username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
   3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
   4. Selezionare Rivedi e crea.
5. Selezionare Crea.

Assegna l'utente di Microsoft Entra e l'account utente di test all'utilizzo dell'app GitHub

In questa sezione abiliti B.Simon e il tuo account utente per utilizzare l'accesso Single Sign-On di Azure, concedendo loro l'accesso a GitHub Enterprise Cloud: Enterprise Account.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud.
2. Accedere a Identity>Applications>Enterprise applications>GitHub Enterprise Cloud - Enterprise Account.
3. Nella pagina di riepilogo dell'app, individuare la sezione Gestisci e selezionare Utenti e gruppi.
4. Selezionare Aggiungi utente, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
5. Nella finestra di dialogo utenti e gruppi selezionare B.Simon e l'account utente dall'elenco Utenti, quindi selezionare il pulsante Seleziona nella parte inferiore della schermata.
6. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
7. Nella finestra di dialogo 'Aggiungi assegnazione', selezionare il pulsante 'Assegna'.

Abilitare e testare SAML per l'account aziendale e le relative organizzazioni

Per configurare l'accesso Single Sign-On nella sezione GitHub Enterprise Cloud - Enterprise Account, seguire i passaggi elencati in questa documentazione di GitHub.

1. Accedere a GitHub.com con un account utente di proprietario dell'account aziendale.
2. Copiare il valore dal campo Login URL nell'app e incollarlo nel campo Sign on URL nelle impostazioni SAML dell'account Aziendale GitHub.
3. Copiare il valore dal campo Azure AD Identifier nell'app e incollarlo nel campo Issuer nelle impostazioni SAML dell'account Aziendale GitHub.
4. Copiare il contenuto del file del Certificato (Base64) scaricato nei passaggi precedenti dal portale di Azure e incollarlo nel campo appropriato nelle impostazioni SAML dell'account aziendale GitHub.
5. Selezionare il Test SAML configuration e verificare di essere in grado di eseguire l'autenticazione dall'account GitHub Enterprise all'ID Microsoft Entra.
6. Al termine del test, salvare le impostazioni.
7. Dopo l'autenticazione tramite SAML per la prima volta dall'account aziendale GitHub, viene creata una identità esterna collegata nell'account aziendale GitHub che associa l'account utente GitHub connesso all'account utente Microsoft Entra.

Dopo aver abilitato SAML SSO per l'account GitHub Enterprise, l'accesso SSO SAML è abilitato per impostazione predefinita per tutte le organizzazioni di proprietà dell'account Enterprise. Tutti i membri devono eseguire l'autenticazione con SAML SSO per ottenere l'accesso alle organizzazioni in cui sono membri e i proprietari dell'organizzazione devono eseguire l'autenticazione con SAML SSO quando accedono a un account aziendale.

Prova l'SSO con un altro titolare di account aziendale o un account di membro dell'organizzazione

Dopo aver configurato l'integrazione SAML per l'account aziendale GitHub (che si applica anche alle organizzazioni GitHub nell'account aziendale), altri proprietari di account aziendali assegnati all'app in Microsoft Entra ID devono essere in grado di passare all'URL dell'account aziendale GitHub (https://github.com/enterprises/<enterprise account>), eseguire l'autenticazione tramite SAML e accedere ai criteri e alle impostazioni nell'account aziendale GitHub.

Un proprietario di un'organizzazione in un account aziendale dovrebbe essere in grado di invitare un utente a unirsi alla loro organizzazione GitHub. Accedere a GitHub.com con un account proprietario dell'organizzazione e seguire la procedura descritta nell'articolo per invitare B.Simon all'organizzazione. È necessario creare un account utente GitHub per B.Simon se non ne esiste già uno.

Per testare l'accesso dell'organizzazione GitHub sotto l'Account Aziendale utilizzando l'account utente di test B.Simon:

1. Invitare B.Simon a un'organizzazione nell'ambito dell'Account Enterprise come proprietario dell'organizzazione.
2. Accedi a GitHub.com usando l'account utente che desideri collegare all'account utente di B.Simon Microsoft Entra.
3. Accedere all'ID Microsoft Entra usando l'account utente B.Simon.
4. Vai all'organizzazione GitHub. All'utente deve essere richiesto di eseguire l'autenticazione tramite SAML. Al termine dell'autenticazione SAML, B.Simon dovrebbe essere in grado di accedere alle risorse dell'organizzazione.

Contenuto correlato

Dopo aver configurato GitHub Enterprise Cloud - Enterprise Account, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.