Integração do Microsoft Entra SSO com o GitHub Enterprise Cloud - Conta Empresarial

Neste artigo, você aprenderá a configurar uma integração do Microsoft Entra SAML com uma conta corporativa do GitHub Enterprise Cloud - Enterprise. Ao integrar o GitHub Enterprise Cloud - Enterprise Account com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso a uma Conta Corporativa do GitHub e a quaisquer organizações dentro da Conta Empresarial.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de aplicativos
  • Administrador de Aplicações em Nuvem
  • Responsável pela Aplicação.

• Uma conta GitHub Enterprise.
• Uma conta de usuário do GitHub que é proprietária de uma conta Enterprise.

Descrição do cenário

Neste artigo, você configurará uma integração SAML para uma Conta Corporativa do GitHub e testará a autenticação e o acesso do proprietário da conta corporativa e do membro da empresa/organização.

Observação

A aplicação GitHub Enterprise Cloud - Enterprise Account não suporta a ativação do provisionamento SCIM automático. Se você precisar configurar o provisionamento para seu ambiente GitHub Enterprise Cloud, o SAML deverá ser configurado no nível da organização e o aplicativo GitHub Enterprise Cloud - Organization Microsoft Entra deverá ser usado. Se estiver a configurar uma integração de provisionamento SAML e SCIM para uma empresa que esteja habilitada para Enterprise Managed Users (EMUs), deverá usar a aplicação GitHub Enterprise Managed User Microsoft Entra para integrações de SAML/Provisioning ou a aplicação GitHub Enterprise Managed User (OIDC) Microsoft Entra para integrações de OIDC/Provisioning.

• O GitHub Enterprise Cloud - Enterprise Account suporta SP e IDP SSO iniciado.

Adicionando o GitHub Enterprise Cloud - Conta Empresarial da galeria

Para configurar a integração do GitHub Enterprise Cloud - Enterprise Account no Microsoft Entra ID, você precisa adicionar o GitHub Enterprise Cloud - Enterprise Account da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra com, no mínimo, uma função de Administrador de Aplicações na Nuvem.
2. Navegue até Identity>Applications>Enterprise applications>New application.
3. Na seção Adicionar da galeria, digite GitHub Enterprise Cloud - Enterprise Account na caixa de pesquisa.
4. Selecione GitHub Enterprise Cloud - Enterprise Account no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração do Enterprise App. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções e percorrer a configuração do SSO também. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o Microsoft Entra SSO para GitHub Enterprise Cloud - Conta Corporativa

Configure e teste o Microsoft Entra SSO com o GitHub Enterprise Cloud - Enterprise Account usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no GitHub Enterprise Cloud - Enterprise Account.

Para configurar e testar o Microsoft Entra SSO com o GitHub Enterprise Cloud - Enterprise Account, execute as seguintes etapas:

1. Configurar o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
   2. Atribua o seu utilizador do Microsoft Entra e a conta de utilizador de teste à aplicação GitHub - para habilitar a sua conta de utilizador e a conta de utilizador de teste B.Simon para usar o início de sessão único do Microsoft Entra.
2. Habilitar e testar o SAML para a Conta Corporativa e suas organizações - para definir as configurações de logon único no lado do aplicativo.
   1. Teste o SSO com outro proprietário de conta enterprise ou membro da organização - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicações na Nuvem .

2. Navegue até Identidade>Aplicações>Aplicações empresariais>GitHub Enterprise Cloud - Conta Empresarial>Início de Sessão Único.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica do SAML para editar as configurações.

   

5. Na seção Configuração Básica do SAML, execute as seguintes etapas:

   um. Na caixa de texto Identificador (ID de Entidade), digite uma URL usando o seguinte padrão: https://github.com/enterprises/<ENTERPRISE-SLUG>

   b. Na caixa de texto URL de resposta, digite uma URL usando o seguinte padrão: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

6. Execute a seguinte etapa se desejar configurar a aplicação no modo iniciado SP:

   Na caixa de texto URL de Logon, digite uma URL usando o seguinte padrão: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

   Observação

   Substitua <ENTERPRISE-SLUG> pelo nome real da sua conta do GitHub Enterprise.

7. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize Certificado (Base64) e selecione Download para baixar o certificado e salvá-lo no seu computador.

   

8. Na seção Configurar o GitHub Enterprise Cloud - Conta Corporativa, copie o(s) URL(s) apropriado(s) com base em sua necessidade.

   

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste no portal do Azure chamado B.Simon.

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de Utilizadores.
2. Navegue até Identidade>Utilizadores>Todos os utilizadores.
3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
4. Nas propriedades do utilizador , siga estes passos:
   1. No campo Nome para exibição, digite B.Simon.
   2. No campo Nome principal do usuário campo, digite o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar palavra-passe e anote o valor exibido na caixa Palavra-passe.
   4. Selecione Rever + criar.
5. Selecione Criar.

Atribua seu usuário do Microsoft Entra e a conta de usuário de teste ao aplicativo GitHub

Nesta seção, você habilitará B.Simon e sua conta de usuário para usar o logon único do Azure concedendo acesso ao GitHub Enterprise Cloud - Enterprise Account.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Cloud Application Administrator.
2. Navegue até Identity>Applications>Enterprise applications>GitHub Enterprise Cloud - Enterprise Account.
3. Na página de visão geral do aplicativo, encontre a seção Gerenciar e selecione Usuários e grupos.
4. Selecione Adicionar utilizadore, em seguida, selecione Utilizadores e grupos na caixa de diálogo Nova atribuição.
5. Na caixa de diálogo Usuários e grupos, selecione B.Simon e sua conta de usuário na lista Usuários e clique no botão Selecionar na parte inferior da tela.
6. Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecione uma função. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
7. Na caixa de diálogo Adicionar Atribuição, clique no botão Atribuir.

Habilitar e testar o SAML para a Conta Corporativa e suas organizações

Para configurar o logon único no lado GitHub Enterprise Cloud - Enterprise Account, siga as etapas listadas em esta documentação do GitHub.

1. Inicie sessão no GitHub.com com uma conta de utilizador que seja proprietária de uma conta enterprise.
2. Copie o valor do campo Login URL no aplicativo e cole-o no campo Sign on URL nas configurações SAML da Conta Empresarial do GitHub.
3. Copie o valor do campo Azure AD Identifier no aplicativo e cole-o no campo Issuer nas configurações SAML da Conta Empresarial do GitHub.
4. Copie o conteúdo do arquivo de do Certificado de (Base64) que você baixou nas etapas acima do portal do Azure e cole-os no campo apropriado nas configurações SAML da Conta Corporativa do GitHub.
5. Clique no Test SAML configuration e confirme se você pode se autenticar da Conta Corporativa do GitHub para o Microsoft Entra ID com êxito.
6. Quando o teste for bem-sucedido, salve as configurações.
7. Depois de autenticar via SAML pela primeira vez a partir da conta corporativa do GitHub, uma de identidade externa vinculada a será criada na conta corporativa do GitHub que associa a conta de usuário do GitHub conectada à conta de usuário do Microsoft Entra.

Depois de habilitar o SAML SSO para sua conta corporativa do GitHub, o SAML SSO é habilitado por padrão para todas as organizações de propriedade de sua conta corporativa. Todos os membros serão obrigados a autenticar usando SAML SSO para obter acesso às organizações onde são membros, e os proprietários de empresas serão obrigados a autenticar usando SAML SSO ao acessar uma Conta Enterprise.

Teste o SSO com outro proprietário de conta corporativa ou conta de membro da organização

Depois que a integração SAML for configurada para a conta corporativa do GitHub (que também se aplica às organizações do GitHub na conta enterprise), outros proprietários de contas corporativas atribuídas ao aplicativo no Microsoft Entra ID deverão ser capazes de navegar até a URL da conta corporativa do GitHub (https://github.com/enterprises/<enterprise account>), autenticar via SAML e acessar as políticas e configurações na conta corporativa do GitHub.

Um proprietário de uma organização numa conta corporativa deve ser capaz de convidar um utilizador para participar na sua organização GitHub. Entre no GitHub.com com uma conta de proprietário da organização e siga as etapas no artigo para convidar B.Simon para a organização. Uma conta de usuário do GitHub precisará ser criada para B.Simon se ainda não existir.

Para testar o acesso à organização do GitHub na Conta Enterprise com a conta de usuário de teste B.Simon:

1. Convide B.Simon para uma organização na Conta Enterprise como dono da organização.
2. Entre no GitHub.com usando a conta de usuário que você gostaria de vincular à conta de usuário B.Simon Microsoft Entra.
3. Entre no Microsoft Entra ID usando a conta de usuário B.Simon.
4. Vá para a organização do GitHub. O usuário deve ser solicitado a autenticar via SAML. Após a autenticação SAML bem-sucedida, B.Simon deve ser capaz de acessar os recursos da organização.

Conteúdo relacionado

Depois de configurar o GitHub Enterprise Cloud - Enterprise Account, você pode impor o controle de sessão, que protege a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. O controle de sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.