Integracja Microsoft Entra SSO z GitHub Enterprise Cloud — Konto Enterprise

Z tego artykułu dowiesz się, jak skonfigurować integrację SAML Microsoft Entra z GitHub Enterprise Cloud na koncie Enterprise. Po zintegrowaniu usługi GitHub Enterprise Cloud — konto enterprise z identyfikatorem Microsoft Entra ID można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do konta przedsiębiorstwa usługi GitHub i wszystkich organizacji w ramach konta przedsiębiorstwa.

Warunki wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz Utworzyć konto bezpłatnie.
• Jedna z następujących ról:
  • administrator aplikacji
  • Administrator aplikacji w chmurze
  • Właściciel aplikacji.

• Konto GitHub Enterprise .
• Konto użytkownika usługi GitHub, które jest właścicielem konta przedsiębiorstwa.

Opis scenariusza

W tym artykule skonfigurujesz integrację protokołu SAML dla konta przedsiębiorstwa usługi GitHub oraz przetestujesz właściciela konta przedsiębiorstwa oraz uwierzytelnianie i dostęp członka przedsiębiorstwa/organizacji.

Notatka

Aplikacja GitHub Enterprise Cloud - Enterprise Account nie obsługuje włączania automatycznej aprowizacji SCIM . Jeśli musisz skonfigurować zarządzanie dostępem dla środowiska GitHub Enterprise Cloud, protokół SAML musi być ustawiony na poziomie organizacji, a do tego celu należy użyć aplikacji Microsoft Entra GitHub Enterprise Cloud - Organization. Jeśli konfigurujesz integrację aprowizacji SAML i SCIM dla przedsiębiorstwa, które ma włączoną funkcję Enterprise Managed Users (EMU), musisz użyć aplikacji Microsoft Entra GitHub Enterprise Managed User na potrzeby integracji SAML/Provisioning lub GitHub Enterprise Managed User (OIDC) na potrzeby integracji OIDC/Provisioning.

• GitHub Enterprise Cloud — Konto Przedsiębiorstwa obsługuje logowanie jednokrotne inicjowane przez SP i IDP .

Dodawanie GitHub Enterprise Cloud — Konto Enterprise z galerii

Aby skonfigurować integrację aplikacji GitHub Enterprise Cloud — Enterprise Account z identyfikatorem Microsoft Entra ID, musisz dodać usługę GitHub Enterprise Cloud — konto Enterprise z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
2. Przejdź do aplikacji Identity>Applications>Dla przedsiębiorstw>Nowa aplikacja.
3. W sekcji Dodaj z galerii wpisz GitHub Enterprise Cloud — konto przedsiębiorstwa w polu wyszukiwania.
4. Wybierz pozycję GitHub Enterprise Cloud — konto przedsiębiorstwa z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, podczas gdy aplikacja jest dodawana do Twojej dzierżawy.

Alternatywnie możesz użyć Kreatora konfiguracji aplikacji Enterprise . W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role i przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach Microsoft 365.

Konfigurowanie i testowanie Microsoft Entra logowania jednokrotnego (SSO) dla usługi GitHub Enterprise Cloud - konto firmowe

Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft w usłudze GitHub Enterprise Cloud — konto enterprise przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w usłudze GitHub Enterprise Cloud – Enterprise Account.

Aby skonfigurować i przetestować Microsoft Entra SSO z usługą GitHub Enterprise Cloud — Konto Enterprise, wykonaj następujące kroki:

1. Skonfiguruj logowanie jednokrotne Microsoft Entra, aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować funkcję logowania jednokrotnego Microsoft Entra z B.Simon.
   2. Przypisz użytkownika Microsoft Entra i konto użytkownika testowego do aplikacji GitHub - aby umożliwić korzystanie z logowania jednokrotnego Microsoft Entra przez konto użytkownika i użytkownika testowego B.Simon.
2. Włączanie i testowanie protokołu SAML dla konta przedsiębiorstwa i jego organizacji — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
   1. Testowanie SSO z innym właścicielem konta przedsiębiorstwa lub kontem członkowskim organizacji — aby sprawdzić, czy konfiguracja działa.

Skonfiguruj Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć jednokrotne logowanie Microsoft Entra.

1. Zaloguj się jako co najmniej Administrator aplikacji w chmurzedo centrum administracyjnego Microsoft Entra.

2. Przejdź do Identity>Applications>Enterprise Applications>GitHub Enterprise Cloud — konto enterprise>logowanie jednokrotne.

3. Na stronie Wybierz metodę logowania jednokrotnego wybierz opcję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML kliknij ikonę ołówka dla Podstawowa konfiguracja SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

   a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, korzystając z następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>

   b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

6. Wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie SP zainicjowanym:

   W polu tekstowym Zaloguj się na adres URL, wpisz adres URL, korzystając z następującego wzorca: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

   Notatka

   Zastąp <ENTERPRISE-SLUG> rzeczywistą nazwą konta przedsiębiorstwa usługi GitHub.

7. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML, w sekcji Certyfikat podpisywania SAML, znajdź certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

   

8. W sekcji Konfigurowanie usługi GitHub Enterprise Cloud — konto przedsiębiorstwa skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

   Skopiuj adresy URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego w witrynie Azure Portal o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator użytkowników.
2. Przejdź do Identity>Users>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik>Utwórz nowego użytkownikaw górnej części ekranu.
4. We właściwościach User wykonaj następujące kroki:
   1. W polu nazwa wyświetlana wprowadź B.Simon.
   2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło, a następnie zapisz wartość wyświetlaną w polu Hasło.
   4. Wybierz Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisz swojego użytkownika Microsoft Entra i konto użytkownika testowego do aplikacji GitHub

W tej sekcji włączysz B.Simon i konto użytkownika w celu korzystania z logowania jednokrotnego platformy Azure, udzielając dostępu do konta GitHub Enterprise Cloud — Enterprise Account.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator aplikacji w chmurze.
2. Przejdź do Identity>Applications>Enterprise applications>GitHub Enterprise Cloud — konto przedsiębiorstwa.
3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy .
4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania.
5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon i swoje konto użytkownika z listy użytkowników, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę. Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Włączanie i testowanie protokołu SAML dla konta przedsiębiorstwa i jego organizacji

Aby skonfigurować logowanie jednokrotne po stronie GitHub Enterprise Cloud dla konta przedsiębiorstwa, wykonaj kroki wymienione w tej dokumentacji GitHub.

1. Zaloguj się do GitHub.com przy użyciu konta użytkownika, które jest właścicielem konta przedsiębiorstwa .
2. Skopiuj wartość z pola Login URL w aplikacji i wklej ją w polu Sign on URL w ustawieniach SAML konta GitHub Enterprise.
3. Skopiuj wartość z pola Azure AD Identifier w aplikacji i wklej ją w polu Issuer w ustawieniach SAML dla konta GitHub Enterprise.
4. Skopiuj zawartość certyfikatu (Base64) z pliku pobranego w powyższych krokach z portalu Azure i wklej je w odpowiednim polu w ustawieniach SAML konta GitHub Enterprise.
5. Kliknij Test SAML configuration i upewnij się, że możesz pomyślnie uwierzytelnić się z konta GitHub Enterprise do identyfikatora Microsoft Entra ID.
6. Po pomyślnym zakończeniu testu zapisz ustawienia.
7. Po uwierzytelnieniu za pomocą SAML po raz pierwszy z konta przedsiębiorstwa GitHub, na koncie przedsiębiorstwa GitHub zostanie utworzona połączona tożsamość zewnętrzna , która powiąże zalogowane konto użytkownika GitHub z kontem użytkownika Microsoft Entra.

Po włączeniu logowania jednokrotnego SAML dla konta usługi GitHub Enterprise logowanie jednokrotne SAML jest domyślnie włączone dla wszystkich organizacji należących do konta przedsiębiorstwa. Wszyscy członkowie będą musieli uwierzytelnić się przy użyciu logowania jednokrotnego SAML w celu uzyskania dostępu do organizacji, w których są członkami, a właściciele przedsiębiorstwa będą musieli uwierzytelnić się przy użyciu logowania jednokrotnego SAML podczas uzyskiwania dostępu do konta przedsiębiorstwa.

Testowanie SSO przy użyciu innego konta właściciela przedsiębiorstwa lub konta członka organizacji

Po skonfigurowaniu integracji protokołu SAML dla konta GitHub z poziomu przedsiębiorstwa (co dotyczy również organizacji GitHub w ramach tego konta), inni właściciele kont przedsiębiorstwa przypisani do aplikacji w Microsoft Entra ID powinni być w stanie przejść do adresu URL konta GitHub z poziomu przedsiębiorstwa (https://github.com/enterprises/<enterprise account>), uwierzytelnić się za pomocą protokołu SAML i uzyskać dostęp do zasad i ustawień dostępnych na tym koncie.

Właściciel organizacji na koncie przedsiębiorstwa powinien mieć możliwość zaprosić użytkownika do dołączenia do organizacji usługi GitHub. Zaloguj się do GitHub.com przy użyciu konta właściciela organizacji i wykonaj kroki opisane w artykule, aby zaprosić B.Simon do organizacji. Konto użytkownika usługi GitHub należy utworzyć dla B.Simon, jeśli jeszcze nie istnieje.

Aby przetestować dostęp do organizacji GitHub w ramach konta Przedsiębiorstwa z użyciem konta testowego użytkownika B.Simon:

1. Zaproś B.Simon do organizacji w ramach konta przedsiębiorstwa jako właściciela organizacji.
2. Zaloguj się do GitHub.com przy użyciu konta użytkownika, które chcesz połączyć z kontem użytkownika B.Simon Microsoft Entra.
3. Zaloguj się do usługi Microsoft Entra ID przy użyciu konta użytkownika B.Simon.
4. Przejdź do organizacji GitHub. Użytkownik powinien zostać poproszony o uwierzytelnienie za pośrednictwem protokołu SAML. Po pomyślnym uwierzytelnieniu SAML B.Simon powinien mieć dostęp do zasobów organizacji.

Powiązana zawartość

Po skonfigurowaniu usługi GitHub Enterprise Cloud — konto przedsiębiorstwa można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.