Интеграция единого входа Microsoft Entra с управляемым пользователем GitHub Enterprise
В этой статье вы узнаете, как интегрировать управляемого пользователя GitHub Enterprise (EMU) с идентификатором Microsoft Entra. Когда вы интегрируете GitHub Enterprise Managed User с системой Microsoft Entra ID, вы можете:
- Контроль доступа к управляемому пользователю GitHub Enterprise с помощью идентификатора Microsoft Entra ID.
- Включите автоматический вход пользователей в GitHub Enterprise User с помощью учетных записей Microsoft Entra.
- Управляйте учетными записями в одном месте.
Примечание.
Управляемые пользователи GitHub Enterprise — это функция GitHub Enterprise Cloud, которая отличается от стандартной реализации единого входа SAML в GitHub Enterprise. Если вы специально не запрашивали экземпляр EMU, у вас стандартный план GitHub для корпоративного облака. В этом случае обратитесь к соответствующей документации по настройке организации, отличной от EMU, или корпоративной учетной записи для проверки подлинности с помощью идентификатора Microsoft Entra.
Предварительные условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей:
- Подписка с включенной функцией единого входа (SSO) для управляемых пользователей GitHub Enterprise.
Описание сценария
В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- Управляемый пользователь GitHub Enterprise поддерживает как единый вход, инициированный провайдером услуг (SP), так и провайдером удостоверений (IDP).
- GitHub Enterprise Managed User требует автоматической подготовки пользователей.
Добавление управляемого пользователя GitHub Enterprise из галереи
Чтобы настроить интеграцию управляемого пользователя GitHub Enterprise с идентификатором Microsoft Entra ID, необходимо добавить GitHub Enterprise Managed User из галереи в список управляемых приложений SaaS.
- Войдите в Центр администрирования системы Microsoft Entra как минимум Администратор облачных приложений.
- Перейдите к Identity>Applications>Enterprise applications>New application.
- Введите GitHub Enterprise Managed User в поле поиска.
- Выберите Управляемый пользователь GitHub Enterprise на панели результатов и нажмите кнопку Создать. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.
Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для управляемого пользователя GitHub Enterprise
Чтобы настроить и проверить единый вход Microsoft Entra в GitHub Enterprise, выполните следующие действия.
- Настройте SSO Microsoft Entra - чтобы включить SAML Единый вход в клиенте Microsoft Entra.
- Настройка GitHub Enterprise Managed User SSO необходима для конфигурации параметров единого входа в GitHub Enterprise.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как по крайней мере Администратор облачных приложений.
Перейдите к Идентификация>Приложения>Корпоративные приложения>GitHub Enterprise Managed User>Единый вход.
На странице Выбрать метод единого входа выберите SAML.
На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.
Перед началом работы убедитесь, что у вас есть корпоративный URL-адрес. Поле СУЩНОСТЬ, упоминаемое ниже, — это корпоративное название корпоративного URL-адреса с поддержкой EMU. Например, https://github.com/enterprises/contoso - contoso — это СУЩНОСТЬ. В разделе Basic SAML Configuration, если вы хотите настроить приложение в режиме, инициируемом IDP, введите значения следующих полей.
a. В текстовом поле Идентификатор введите URL-адрес в следующем формате:
https://github.com/enterprises/<ENTITY>
.Примечание.
Обратите внимание, что формат идентификатора отличается от рекомендуемого формата приложения. Используйте формат, указанный выше. Кроме того, убедитесь, что в конце **идентификатора нет косой черты.
b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате:
https://github.com/enterprises/<ENTITY>/saml/consume
.Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия.
В текстовом поле URL-адрес входа введите URL-адрес в формате
https://github.com/enterprises/<ENTITY>/sso
.На странице «Настройка единого входа с помощью SAML» в разделе «Сертификат подписи SAML» найдите сертификат (PEM) и выберите «Скачать сертификат PEM», чтобы сохранить сертификат на свой компьютер.
В разделе Настройка GitHub Enterprise Managed User скопируйте приведенные ниже URL-адреса и сохраните их для дальнейшей настройки GitHub.
Назначение тестового пользователя Microsoft Entra
В этом разделе вы привяжете свою учетную запись как GitHub Enterprise Managed User, чтобы завершить настройку единого входа.
- Войдите в административный центр Microsoft Entra как минимум в роли Администратора облачных приложений.
- Перейдите к Идентификация>Приложения>Корпоративные приложения>GitHub Enterprise Managed User.
- На странице "Обзор" приложения найдите раздел Управление и выберите Пользователи и группы.
- Выберите Добавить пользователя, а в диалоговом окне Добавление назначения выберите Пользователи и группы.
- В диалоговом окне Пользователи и группы выберите свою учетную запись в списке пользователей, а затем нажмите кнопку Выбрать в нижней части экрана.
- В диалоговом окне Выбор роли выберите роль Владелец предприятия, а затем нажмите кнопку Выбрать в нижней части экрана. Ваша учетная запись назначается владельцем организации для вашего экземпляра GitHub, когда вы настраиваете свою учетную запись в следующей статье.
- В диалоговом окне Добавление назначения нажмите кнопку Назначить.
Настройка SSO для управляемых пользователей в GitHub Enterprise
Чтобы настроить единый вход на стороне GitHub Enterprise Managed User, вам потребуются следующие элементы.
- URL-адреса из приложения управляемого пользователя Microsoft Entra Enterprise выше: URL-адрес входа; Идентификатор Microsoft Entra; и URL-адрес выхода
- Имя учетной записи и пароль первого пользователя с правами администратора GitHub Enterprise. Учетные данные предоставляются в электронном письме для сброса пароля, отправленном вашим контактным лицом из GitHub Solutions Engineering.
Включение единого входа SAML в GitHub Enterprise Managed User
В этом разделе вы возьмёте сведения, указанные выше из идентификатора Microsoft Entra, и добавите их в параметры предприятия для включения поддержки единого входа.
- Перейдите на https://github.com
- Щелкните "Войти" в верхнем правом углу.
- Введите учетные данные для первой учетной записи пользователя с правами администратора. Дескриптор имени для входа должен иметь следующий формат:
<your enterprise short code>_admin
. - Перейдите к
https://github.com/enterprises/
<your enterprise name>
. Эти сведения должно предоставить контактное лицо Solutions Engineering. - В меню навигации слева выберите параметры, а затем безопасность проверки подлинности.
- Установите флажок "Требовать проверку подлинности SAML"
- Введите URL-адрес для входа. Этот URL-адрес — это URL-адрес входа, скопированный выше из идентификатора Microsoft Entra.
- Введите эмитента. Этот URL-адрес — это идентификатор Microsoft Entra ID, который вы скопировали из Microsoft Entra ID выше.
- Введите общедоступный сертификат. Откройте ранее скачанный сертификат base64 и вставьте текстовое содержимое этого файла в это диалоговое окно.
- Щелкните Тестировать конфигурацию SAML. Откроется диалоговое окно для входа с учетными данными Microsoft Entra, чтобы убедиться, что единый вход SAML настроен правильно. Войдите с помощью учетных данных Microsoft Entra. При тестировании может потребоваться очистить кэш браузера, чтобы убедиться, что вы вошли в правильный клиент. Вы получите сообщение пройдено: успешно аутентифицировано ваше удостоверение SAML SSO при успешной проверке.
- Щелкните Сохранить, чтобы сохранить эти настройки.
- Сохраните (скачайте, распечатайте или скопируйте) коды восстановления в безопасном месте.
- Теперь вход в Enterprise возможен только для учетных записей с единым входом. Следуйте инструкциям в документе ниже по настройке, чтобы создать учетные записи с поддержкой единого входа.
Связанный контент
GitHub Enterprise Managed User требует создания всех учетных записей посредством автоматической подготовки пользователей. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.