Integrazione di Microsoft Entra SSO con GitHub Enterprise Cloud - Enterprise Account

Questo articolo illustra come configurare un'integrazione SAML di Microsoft Entra con un account GitHub Enterprise Cloud - Enterprise Account. Integrando GitHub Enterprise Cloud - Enterprise Account con Microsoft Entra ID, è possibile:

• Controllare in Microsoft Entra ID chi può accedere a un account GitHub Enterprise e a qualsiasi organizzazione all'interno dell'account aziendale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

• Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non ne hai già uno, puoi creare un account gratuitamente.
• Uno dei ruoli seguenti:
  • amministratore di applicazioni
  • amministratore di applicazioni cloud
  • proprietario dell'applicazione.

• Un account GitHub Enterprise.
• Un account utente GitHub proprietario di un account aziendale.

Descrizione dello scenario

In questo articolo si configurerà un'integrazione SAML per un account GitHub Enterprise e si testerà l'autenticazione e l'accesso dei membri dell'organizzazione e del proprietario dell'account aziendale e dell'organizzazione.

Nota

L'applicazione Enterprise Cloud - Enterprise Account GitHub non supporta l'abilitazione del provisioning SCIM automatico . Se è necessario configurare il provisioning per l'ambiente GitHub Enterprise Cloud, SAML deve essere impostato a livello di organizzazione e al suo posto deve essere usata l'applicazione Microsoft Entra GitHub Enterprise Cloud - Organization. Se si configura un'integrazione del provisioning SAML e SCIM per un'azienda supportata per Enterprise Managed Users (EMUs), è necessario usare l'applicazione GitHub Enterprise Managed User Microsoft Entra per le integrazioni SAML/Provisioning o l'applicazione GitHub Enterprise Managed User (OIDC) Microsoft Entra per le integrazioni OIDC/Provisioning.

• GitHub Enterprise Cloud - Enterprise Account supporta SP e SSO iniziato da IDP .

Aggiungere GitHub Enterprise Cloud - Enterprise Account dalla raccolta

Per configurare l'integrazione di GitHub Enterprise Cloud - Enterprise Account in Microsoft Entra ID, è necessario aggiungere GitHub Enterprise Cloud - Enterprise Account dalla raccolta all'elenco di app SaaS gestite.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore di Applicazioni Cloud.
2. Passare a Identity>Applications>Enterprise applications>New application.
3. Nella sezione Aggiungi dalla raccolta digitare GitHub Enterprise Cloud - Enterprise Account nella casella di ricerca.
4. Selezionare GitHub Enterprise Cloud - Enterprise Account nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tuo tenant.

In alternativa, è anche possibile usare Assistente di configurazione dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli e seguire anche la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso SSO di Microsoft Entra per GitHub Enterprise Cloud - Enterprise Account

Configurare e testare l'accesso SSO di Microsoft Entra con GitHub Enterprise Cloud - Enterprise Account usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in GitHub Enterprise Cloud - Enterprise Account.

Per configurare e testare l'accesso SSO di Microsoft Entra con GitHub Enterprise Cloud - Enterprise Account, seguire questa procedura:

1. Configurare il Single Sign-On (SSO) di Microsoft Entra - per consentire agli utenti di utilizzare questa funzionalità.
   1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
   2. Assegnare l'utente di Microsoft Entra e l'account utente di test all'app GitHub: per abilitare l'account utente e testare l'B.Simon utente per l'uso dell'accesso Single Sign-On di Microsoft Entra.
2. Abilitare e testare SAML per l'account aziendale e le relative organizzazioni: per configurare le impostazioni di Single Sign-On sul lato applicazione.
   1. Testare l'accesso SSO con un altro account aziendale o un altro account membro dell'organizzazione: per verificare se la configurazione funziona.

Configurare il Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra con il ruolo di almeno un amministratore di applicazioni cloud.

2. Naviga fino a Identity>Applications>Enterprise applications>GitHub Enterprise Cloud - Enterprise Account>accesso singolo.

3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

4. Nella pagina Configura accesso Single Sign-On con SAML, fare clic sull'icona a forma di matita per Configurazione SAML di Base per modificare le impostazioni.

   

5. Nella sezione configurazione SAML di base seguire questa procedura:

   un. Nella casella di testo Identificatore (ID entità), digitare un URL usando il modello seguente: https://github.com/enterprises/<ENTERPRISE-SLUG>

   b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

6. Eseguire il passaggio seguente se si vuole configurare l'applicazione in SP modalità avviata:

   Nella casella di testo URL di accesso digitare un URL usando il modello seguente: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

   Nota

   Sostituire <ENTERPRISE-SLUG> con il nome effettivo dell'account GitHub Enterprise.

7. Nella pagina Configura accesso Single Sign-On con SAML, nella sezione Certificato di firma SAML, individuare il Certificato (Base64) e selezionare Download per scaricare il certificato e salvarlo nel computer.

   

8. Nella sezione Configura GitHub Enterprise Cloud - Enterprise Account copiare gli URL appropriati in base alle esigenze.

   

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test nel portale di Azure denominato B.Simon.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore utente .
2. Passare a Identity>Users>Tutti gli utenti.
3. Selezionare Nuovo utente>Crea nuovo utente, nella parte superiore della schermata.
4. Nelle proprietà User seguire questa procedura:
   1. Nel campo Nome visualizzato immettere B.Simon.
   2. Nel campo Nome utente principale immettere username@companydomain.extension. Ad esempio, B.Simon@contoso.com.
   3. Selezionare la casella di controllo Mostra password e quindi annotare il valore visualizzato nella casella Password.
   4. Selezionare Rivedi e crea.
5. Selezionare Crea.

Assegna l'utente di Microsoft Entra e l'account utente di test all'utilizzo dell'app GitHub

In questa sezione abiliterai B.Simon e il tuo account utente per usare il Single Sign-On di Azure concedendo l'accesso a GitHub Enterprise Cloud - Enterprise Account.

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di applicazioni cloud .
2. Accedere a Identity>Applications>Enterprise applications>GitHub Enterprise Cloud - Enterprise Account.
3. Nella pagina di riepilogo dell'app, individuare la sezione Gestisci e selezionare Utenti e gruppi.
4. Selezionare Aggiungi utente, quindi selezionare Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.
5. Nella finestra di dialogo utenti e gruppi selezionare B.Simon e l'account utente dall'elenco Utenti, quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
6. Se si prevede che un ruolo venga assegnato agli utenti, è possibile selezionarlo dall'elenco a discesa Selezionare un ruolo. Se non è stato configurato alcun ruolo per questa app, viene visualizzato il ruolo "Accesso predefinito" selezionato.
7. Nella finestra di dialogo Aggiungi assegnazione, fare clic sul pulsante Assegna.

Abilitare e testare SAML per l'account aziendale e le relative organizzazioni

Per configurare l'accesso Single Sign-On nella sezione GitHub Enterprise Cloud - Enterprise Account, seguire i passaggi elencati in questa documentazione di GitHub.

1. Accedere a GitHub.com con un account utente proprietario dell'account aziendale.
2. Copiare il valore dal campo Login URL nell'app e incollarlo nel campo Sign on URL nelle impostazioni SAML dell'account Aziendale GitHub.
3. Copiare il valore dal campo Azure AD Identifier nell'app e incollarlo nel campo Issuer nelle impostazioni SAML dell'account Aziendale GitHub.
4. Copiare il contenuto del file del Certificato (Base64) scaricato nei passaggi precedenti dal portale di Azure e incollarlo nel campo appropriato nelle impostazioni SAML dell'account aziendale GitHub.
5. Fare clic sul Test SAML configuration e verificare di essere in grado di eseguire l'autenticazione dall'account GitHub Enterprise all'ID Microsoft Entra.
6. Al termine del test, salvare le impostazioni.
7. Dopo l'autenticazione tramite SAML per la prima volta dall'account aziendale GitHub, verrà creata un'identità esterna collegata nell'account aziendale GitHub, che associa l'account utente GitHub attivo all'account utente Microsoft Entra.

Dopo aver abilitato SAML SSO per l'account GitHub Enterprise, l'accesso SSO SAML è abilitato per impostazione predefinita per tutte le organizzazioni di proprietà dell'account Enterprise. Tutti i membri dovranno eseguire l'autenticazione con SAML SSO per ottenere l'accesso alle organizzazioni in cui sono membri e i proprietari dell'organizzazione dovranno eseguire l'autenticazione con SAML SSO quando accedono a un account aziendale.

Testare l'accesso SSO con un altro account aziendale o un altro account membro dell'organizzazione

Dopo aver configurato l'integrazione SAML per l'account aziendale GitHub (che si applica anche alle organizzazioni GitHub nell'account aziendale), altri proprietari di account aziendali assegnati all'app in Microsoft Entra ID devono essere in grado di passare all'URL dell'account aziendale GitHub (https://github.com/enterprises/<enterprise account>), eseguire l'autenticazione tramite SAML e accedere ai criteri e alle impostazioni nell'account aziendale GitHub.

Un proprietario di un'organizzazione in un account aziendale dovrebbe essere in grado di invitare un utente a unirsi alla loro organizzazione GitHub. Accedere a GitHub.com con un account proprietario dell'organizzazione e seguire la procedura descritta nell'articolo per invitare B.Simon all'organizzazione. È necessario creare un account utente GitHub per B.Simon se non ne esiste già uno.

Per testare l'accesso dell'organizzazione GitHub sotto l'Account Aziendale utilizzando l'account utente di test B.Simon:

1. Invitare B.Simon a un'organizzazione con l'account aziendale come proprietario dell'organizzazione.
2. Accedi a GitHub.com usando l'account utente che desideri collegare all'account utente di B.Simon Microsoft Entra.
3. Accedere all'ID Microsoft Entra usando l'account utente B.Simon.
4. Vai all'organizzazione GitHub. All'utente deve essere richiesto di eseguire l'autenticazione tramite SAML. Al termine dell'autenticazione SAML, B.Simon dovrebbe essere in grado di accedere alle risorse dell'organizzazione.

Contenuto correlato

Dopo aver configurato GitHub Enterprise Cloud - Enterprise Account, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione si estende dall'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.