Поделиться через


Интеграция единого входа Microsoft Entra с управляемым пользователем GitHub Enterprise

В этой статье вы узнаете, как интегрировать управляемого пользователя GitHub Enterprise (EMU) с идентификатором Microsoft Entra. Когда вы интегрируете GitHub Enterprise Managed User с системой Microsoft Entra ID, вы можете:

  • Контроль доступа к управляемому пользователю GitHub Enterprise с помощью идентификатора Microsoft Entra ID.
  • Включите автоматический вход пользователей в GitHub Enterprise User с помощью учетных записей Microsoft Entra.
  • Управляйте учетными записями в одном месте.

Примечание.

Управляемые пользователи GitHub Enterprise — это функция GitHub Enterprise Cloud, которая отличается от стандартной реализации единого входа SAML в GitHub Enterprise. Если вы специально не запрашивали экземпляр EMU, у вас стандартный план GitHub для корпоративного облака. В этом случае обратитесь к соответствующей документации по настройке организации, отличной от EMU, или корпоративной учетной записи для проверки подлинности с помощью идентификатора Microsoft Entra.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка с включенной функцией единого входа (SSO) для управляемых пользователей GitHub Enterprise.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Управляемый пользователь GitHub Enterprise поддерживает как единый вход, инициированный провайдером услуг (SP), так и провайдером удостоверений (IDP).
  • GitHub Enterprise Managed User требует автоматической подготовки пользователей.

Чтобы настроить интеграцию управляемого пользователя GitHub Enterprise с идентификатором Microsoft Entra ID, необходимо добавить GitHub Enterprise Managed User из галереи в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования системы Microsoft Entra как минимум Администратор облачных приложений.
  2. Перейдите к Identity>Applications>Enterprise applications>New application.
  3. Введите GitHub Enterprise Managed User в поле поиска.
  4. Выберите Управляемый пользователь GitHub Enterprise на панели результатов и нажмите кнопку Создать. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для управляемого пользователя GitHub Enterprise

Чтобы настроить и проверить единый вход Microsoft Entra в GitHub Enterprise, выполните следующие действия.

  1. Настройте SSO Microsoft Entra - чтобы включить SAML Единый вход в клиенте Microsoft Entra.
  2. Настройка GitHub Enterprise Managed User SSO необходима для конфигурации параметров единого входа в GitHub Enterprise.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как по крайней мере Администратор облачных приложений.

  2. Перейдите к Идентификация>Приложения>Корпоративные приложения>GitHub Enterprise Managed User>Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Скриншот показывает, как редактировать базовую конфигурацию SAML.

  5. Перед началом работы убедитесь, что у вас есть корпоративный URL-адрес. Поле СУЩНОСТЬ, упоминаемое ниже, — это корпоративное название корпоративного URL-адреса с поддержкой EMU. Например, https://github.com/enterprises/contoso - contoso — это СУЩНОСТЬ. В разделе Basic SAML Configuration, если вы хотите настроить приложение в режиме, инициируемом IDP, введите значения следующих полей.

    a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://github.com/enterprises/<ENTITY>.

    Примечание.

    Обратите внимание, что формат идентификатора отличается от рекомендуемого формата приложения. Используйте формат, указанный выше. Кроме того, убедитесь, что в конце **идентификатора нет косой черты.

    b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://github.com/enterprises/<ENTITY>/saml/consume.

  6. Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия.

    В текстовом поле URL-адрес входа введите URL-адрес в формате https://github.com/enterprises/<ENTITY>/sso.

  7. На странице «Настройка единого входа с помощью SAML» в разделе «Сертификат подписи SAML» найдите сертификат (PEM) и выберите «Скачать сертификат PEM», чтобы сохранить сертификат на свой компьютер.

    Снимок экрана: ссылка на скачивание сертификата.

  8. В разделе Настройка GitHub Enterprise Managed User скопируйте приведенные ниже URL-адреса и сохраните их для дальнейшей настройки GitHub.

    На снимке экрана показано, как копировать URL-адреса конфигурации.

Назначение тестового пользователя Microsoft Entra

В этом разделе вы привяжете свою учетную запись как GitHub Enterprise Managed User, чтобы завершить настройку единого входа.

  1. Войдите в административный центр Microsoft Entra как минимум в роли Администратора облачных приложений.
  2. Перейдите к Идентификация>Приложения>Корпоративные приложения>GitHub Enterprise Managed User.
  3. На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
  4. Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
  5. В диалоговом окне Пользователи и группы выберите свою учетную запись в списке пользователей, а затем нажмите кнопку Выбрать в нижней части экрана.
  6. В диалоговом окне Выбор роли выберите роль Владелец предприятия, а затем нажмите кнопку Выбрать в нижней части экрана. Ваша учетная запись назначается владельцем организации для вашего экземпляра GitHub, когда вы настраиваете свою учетную запись в следующей статье.
  7. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка SSO для управляемых пользователей в GitHub Enterprise

Чтобы настроить единый вход на стороне GitHub Enterprise Managed User, вам потребуются следующие элементы.

  1. URL-адреса из приложения управляемого пользователя Microsoft Entra Enterprise выше: URL-адрес входа; Идентификатор Microsoft Entra; и URL-адрес выхода
  2. Имя учетной записи и пароль первого пользователя с правами администратора GitHub Enterprise. Учетные данные предоставляются в электронном письме для сброса пароля, отправленном вашим контактным лицом из GitHub Solutions Engineering.

Включение единого входа SAML в GitHub Enterprise Managed User

В этом разделе вы возьмёте сведения, указанные выше из идентификатора Microsoft Entra, и добавите их в параметры предприятия для включения поддержки единого входа.

  1. Перейдите на https://github.com
  2. Щелкните "Войти" в верхнем правом углу.
  3. Введите учетные данные для первой учетной записи пользователя с правами администратора. Дескриптор имени для входа должен иметь следующий формат: <your enterprise short code>_admin.
  4. Перейдите к https://github.com/enterprises/<your enterprise name>. Эти сведения должно предоставить контактное лицо Solutions Engineering.
  5. В меню навигации слева выберите параметры, а затем безопасность проверки подлинности.
  6. Установите флажок "Требовать проверку подлинности SAML"
  7. Введите URL-адрес для входа. Этот URL-адрес — это URL-адрес входа, скопированный выше из идентификатора Microsoft Entra.
  8. Введите эмитента. Этот URL-адрес — это идентификатор Microsoft Entra ID, который вы скопировали из Microsoft Entra ID выше.
  9. Введите общедоступный сертификат. Откройте ранее скачанный сертификат base64 и вставьте текстовое содержимое этого файла в это диалоговое окно.
  10. Щелкните Тестировать конфигурацию SAML. Откроется диалоговое окно для входа с учетными данными Microsoft Entra, чтобы убедиться, что единый вход SAML настроен правильно. Войдите с помощью учетных данных Microsoft Entra. При тестировании может потребоваться очистить кэш браузера, чтобы убедиться, что вы вошли в правильный клиент. Вы получите сообщение пройдено: успешно аутентифицировано ваше удостоверение SAML SSO при успешной проверке.
  11. Щелкните Сохранить, чтобы сохранить эти настройки.
  12. Сохраните (скачайте, распечатайте или скопируйте) коды восстановления в безопасном месте.
  13. Теперь вход в Enterprise возможен только для учетных записей с единым входом. Следуйте инструкциям в документе ниже по настройке, чтобы создать учетные записи с поддержкой единого входа.

GitHub Enterprise Managed User требует создания всех учетных записей посредством автоматической подготовки пользователей. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.