Udostępnij za pośrednictwem


Samouczek: integracja logowania jednokrotnego firmy Microsoft z usługą GitHub Enterprise Cloud — konto enterprise

Z tego samouczka dowiesz się, jak skonfigurować integrację protokołu SAML firmy Microsoft z usługą GitHub Enterprise Cloud — konto enterprise. Po zintegrowaniu usługi GitHub Enterprise Cloud — konto enterprise z identyfikatorem Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do konta przedsiębiorstwa usługi GitHub i wszystkich organizacji w ramach konta przedsiębiorstwa.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Konto usługi GitHub Enterprise.
  • Konto użytkownika usługi GitHub, które jest właścicielem konta przedsiębiorstwa.

Opis scenariusza

W tym samouczku skonfigurujesz integrację saml dla konta Usługi GitHub Enterprise oraz przetestujesz właściciela konta przedsiębiorstwa oraz uwierzytelnianie i dostęp do członków przedsiębiorstwa/organizacji.

Uwaga

Aplikacja GitHub Enterprise Cloud - Enterprise Account nie obsługuje włączania automatycznej aprowizacji SCIM. Jeśli musisz skonfigurować aprowizację dla środowiska GitHub Enterprise Cloud, należy skonfigurować protokół SAML na poziomie organizacji, a GitHub Enterprise Cloud - Organization zamiast tego należy użyć aplikacji Microsoft Entra. Jeśli konfigurujesz integrację aprowizacji SAML i SCIM dla przedsiębiorstwa, które jest włączone dla użytkowników zarządzanych przedsiębiorstwa (EMU), musisz użyć GitHub Enterprise Managed User aplikacji Microsoft Entra na potrzeby integracji SAML/Provisioning lub GitHub Enterprise Managed User (OIDC) aplikacji Microsoft Entra na potrzeby integracji OIDC/Provisioning.

  • GitHub Enterprise Cloud — konto przedsiębiorstwa obsługuje logowanie jednokrotne inicjowane przez dostawcę usług i dostawcę tożsamości.

Aby skonfigurować integrację aplikacji GitHub Enterprise Cloud — Enterprise Account z identyfikatorem Microsoft Entra ID, musisz dodać usługę GitHub Enterprise Cloud — konto Enterprise z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz GitHub Enterprise Cloud — konto enterprise w polu wyszukiwania.
  4. Wybierz pozycję GitHub Enterprise Cloud — konto przedsiębiorstwa z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role i przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft dla usługi GitHub Enterprise Cloud — konto przedsiębiorstwa

Konfigurowanie i testowanie logowania jednokrotnego microsoft Entra przy użyciu usługi GitHub Enterprise Cloud — konto enterprise przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w usłudze GitHub Enterprise Cloud — konto enterprise.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z usługą GitHub Enterprise Cloud — konto enterprise, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika microsoft Entra i konto użytkownika testowego do aplikacji GitHub — aby umożliwić swojemu kontu użytkownika i testowemu użytkownikowi B.Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Włącz i przetestuj protokół SAML dla konta przedsiębiorstwa i jego organizacji — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Przetestuj logowanie jednokrotne przy użyciu innego konta przedsiębiorstwa lub konta członka organizacji — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do sekcji >Identity>Applications Enterprise Applications Enterprise Applications>GitHub Enterprise Cloud — logowanie jednokrotne konta>przedsiębiorstwa.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące czynności:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, używając następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

  6. Wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie zainicjowanym przez dostawcę usług :

    W polu tekstowym Adres URL logowania wpisz adres URL, używając następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

    Uwaga

    Zastąp <ENTERPRISE-SLUG> ciąg rzeczywistą nazwą konta przedsiębiorstwa usługi GitHub.

  7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    The Certificate download link

  8. W sekcji Konfigurowanie usługi GitHub Enterprise Cloud — konto przedsiębiorstwa skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Copy configuration URLs

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego w witrynie Azure Portal o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika microsoft Entra i konta użytkownika testowego do aplikacji GitHub

W tej sekcji włączysz i B.Simon konto użytkownika do korzystania z logowania jednokrotnego platformy Azure, udzielając dostępu do konta GitHub Enterprise Cloud — Enterprise Account.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do witryny Identity>Applications Dla aplikacji>>dla przedsiębiorstw GitHub Enterprise Cloud — konto przedsiębiorstwa.
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon i konto użytkownika z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
  7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Włączanie i testowanie protokołu SAML dla konta przedsiębiorstwa i jego organizacji

Aby skonfigurować logowanie jednokrotne po stronie usługi GitHub Enterprise Cloud — konto przedsiębiorstwa, wykonaj kroki wymienione w tej dokumentacji usługi GitHub.

  1. Zaloguj się do GitHub.com przy użyciu konta użytkownika, które jest właścicielem konta przedsiębiorstwa.
  2. Skopiuj wartość z Login URL pola w aplikacji i wklej ją w Sign on URL polu w ustawieniach SAML konta przedsiębiorstwa usługi GitHub.
  3. Skopiuj wartość z Azure AD Identifier pola w aplikacji i wklej ją w Issuer polu w ustawieniach SAML konta przedsiębiorstwa usługi GitHub.
  4. Skopiuj zawartość pliku certyfikatu (Base64) pobranego w powyższych krokach z witryny Azure Portal i wklej je w odpowiednim polu w ustawieniach SAML konta przedsiębiorstwa usługi GitHub.
  5. Kliknij i Test SAML configuration potwierdź, że możesz pomyślnie uwierzytelnić się z konta przedsiębiorstwa usługi GitHub do identyfikatora Entra firmy Microsoft.
  6. Po pomyślnym zakończeniu testu zapisz ustawienia.
  7. Po uwierzytelnieniu za pośrednictwem protokołu SAML po raz pierwszy z konta przedsiębiorstwa usługi GitHub zostanie utworzona połączona tożsamość zewnętrzna na koncie przedsiębiorstwa usługi GitHub, które kojarzy zalogowane konto użytkownika usługi GitHub z kontem użytkownika Microsoft Entra.

Po włączeniu logowania jednokrotnego SAML dla konta usługi GitHub Enterprise logowanie jednokrotne SAML jest domyślnie włączone dla wszystkich organizacji należących do konta przedsiębiorstwa. Wszyscy członkowie będą musieli uwierzytelnić się przy użyciu logowania jednokrotnego SAML w celu uzyskania dostępu do organizacji, w których są członkami, a właściciele przedsiębiorstwa będą musieli uwierzytelnić się przy użyciu logowania jednokrotnego SAML podczas uzyskiwania dostępu do konta przedsiębiorstwa.

Testowanie logowania jednokrotnego przy użyciu innego konta przedsiębiorstwa lub konta członka organizacji

Po skonfigurowaniu integracji SAML dla konta przedsiębiorstwa usługi GitHub (które dotyczy również organizacji GitHub na koncie przedsiębiorstwa), inni właściciele kont przedsiębiorstwa, którym przypisano do aplikacji w identyfikatorze Entra firmy Microsoft, powinni mieć możliwość przejścia do adresu URL konta przedsiębiorstwa usługi GitHub (https://github.com/enterprises/<enterprise account>), uwierzytelnienia za pośrednictwem protokołu SAML oraz uzyskania dostępu do zasad i ustawień w ramach konta przedsiębiorstwa usługi GitHub.

Właściciel organizacji w organizacji na koncie przedsiębiorstwa powinien mieć możliwość zaproszenia użytkownika do dołączenia do organizacji usługi GitHub. Zaloguj się do GitHub.com przy użyciu konta właściciela organizacji i wykonaj kroki opisane w artykule, aby zaprosić B.Simon do organizacji. Jeśli konto użytkownika usługi GitHub jeszcze nie istnieje, należy utworzyć B.Simon konto użytkownika usługi GitHub.

Aby przetestować dostęp organizacji usługi GitHub na koncie przedsiębiorstwa przy użyciu konta użytkownika testowego B.Simon :

  1. Zaproś B.Simon do organizacji w ramach konta przedsiębiorstwa jako właściciela organizacji.
  2. Zaloguj się do GitHub.com przy użyciu konta użytkownika, które chcesz połączyć z B.Simon kontem użytkownika Microsoft Entra.
  3. Zaloguj się do usługi Microsoft Entra ID przy użyciu B.Simon konta użytkownika.
  4. Przejdź do organizacji usługi GitHub. Użytkownik powinien zostać poproszony o uwierzytelnienie za pośrednictwem protokołu SAML. Po pomyślnym uwierzytelnieniu B.Simon SAML powinno być możliwe uzyskanie dostępu do zasobów organizacji.

Następne kroki

Po skonfigurowaniu usługi GitHub Enterprise Cloud — konto przedsiębiorstwa można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.