Microsoft Entra SSO 與 GitHub Enterprise Cloud - 企業帳戶整合

在本文中，您將瞭解如何設定 Microsoft Entra SAML 與 GitHub Enterprise Cloud - Enterprise 帳戶的整合。 在整合 GitHub Enterprise Cloud - Enterprise Account 與 Microsoft Entra ID 時，您可以：

• 在 Microsoft Entra ID 中控制誰可以存取 GitHub Enterprise 帳戶及該企業帳戶內的任何組織。

先決條件

本文中所述的案例假設您已經具備下列必要條件：

• 具有有效訂用帳戶的 Microsoft Entra 用戶帳戶。 如果您還沒有帳戶，您可以 免費建立帳戶。
• 下列其中一個角色：
  • 應用程式管理員
  • 雲端應用程式管理員
  • 應用程式擁有者。

• GitHub Enterprise 帳戶。
• 企業帳戶擁有者的 GitHub 用戶帳戶。

案例描述

在本文中，您會設定 GitHub Enterprise 帳戶的 SAML 整合，並測試企業帳戶擁有者和企業/組織成員驗證和存取。

注意

GitHub Enterprise Cloud - Enterprise Account 應用程式不支援啟用 自動 SCIM 布建。 如果您需要設定 GitHub Enterprise Cloud 環境的布建，則必須在組織層級設定 SAML，而且必須改用 GitHub Enterprise Cloud - Organization Microsoft Entra 應用程式。 如果您要為已啟用 企業受控使用者 （EMU）的企業設定 SAML 和 SCIM 布建整合，則必須針對 SAML/布建整合使用 GitHub Enterprise Managed User Microsoft Entra 應用程式，或針對 OIDC/布建整合使用 GitHub Enterprise Managed User (OIDC) Microsoft Entra 應用程式。

• GitHub Enterprise Cloud - 企業帳戶支援由 SP 和 IDP 起始的 SSO。

新增 GitHub Enterprise Cloud - 企業帳戶（從精選集）

若要設定將 GitHub Enterprise Cloud - Enterprise Account 整合到 Microsoft Entra ID 中，您需要從資源庫將 GitHub Enterprise Cloud - Enterprise Account 新增到受控 SaaS 應用程式清單。

1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 身分識別>應用程式>企業應用程式>新增應用程式。
3. 在 [從圖庫 新增] 區段中，於搜尋方塊中輸入 GitHub Enterprise Cloud - Enterprise Account。
4. 從結果面板選取 [GitHub Enterprise Cloud - 企業帳戶]，然後新增應用程式。 將應用程式新增至您的租戶時，請稍候幾秒鐘。

或者，您也可以使用 企業應用程式設定精靈。 在此精靈中，您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色，以及逐步解說 SSO 設定。 深入瞭解Microsoft 365 精靈。

設定和測試 Microsoft Entra SSO 用於 GitHub Enterprise Cloud 企業帳戶

使用名為 B.Simon的測試用戶，設定及測試 Microsoft Entra SSO 與 GitHub Enterprise Cloud - Enterprise 帳戶的搭配運作。 若要讓 SSO 能夠運作，您必須建立 Microsoft Entra 使用者與 GitHub Enterprise Cloud - 企業帳戶中相關使用者之間的連結關聯性。

若要設定及測試與 GitHub Enterprise Cloud - Enterprise 帳戶搭配運作 Microsoft的 Entra SSO，請執行下列步驟：

1. 設定 Microsoft Entra SSO - 讓用戶能夠使用此功能。
   1. 建立 Microsoft Entra 測試使用者 - 使用 B.Simon 測試Microsoft Entra 單一登錄。
   2. 將Microsoft Entra 使用者和測試使用者帳戶指派給 GitHub 應用程式 - 讓您的使用者帳戶和測試使用者 B.Simon 使用 Microsoft Entra 單一登錄。
2. 為企業帳戶及其組織啟用及測試 SAML - 在應用程式端設定單一登錄設定。
   1. 測試 SSO 與另一個企業帳戶擁有者或組織成員帳戶 - 以確認組態是否正常運作。

設定 Microsoft Entra SSO

請遵循下列步驟來啟用 Microsoft Entra SSO。

1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 身份>應用程式>企業應用程式>GitHub Enterprise Cloud - Enterprise Account>單一登錄。

3. 在 [選取單一登錄方法] 頁面上，選取 SAML 。

4. 在 [設定使用 SAML 單一登入] 頁面上，選取 [基本 SAML 組態] 的鉛筆圖示來編輯設定。

   

5. 在 [基本 SAML 組態] 區段上，執行下列步驟：

   一個。 於 [識別碼 文字框] 中，使用下列模式輸入 URL：https://github.com/enterprises/<ENTERPRISE-SLUG>

   b. 在 [回復 URL] 的文字方塊中，輸入符合下列模式的 URL：https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

6. 如果您想要以 SP 起始模式設定應用程式，請執行下列步驟：

   在 [登入網址] 文本框中，使用以下模式輸入 URL：https://github.com/enterprises/<ENTERPRISE-SLUG>/sso

   注意

   以 GitHub Enterprise 帳戶的實際名稱取代 <ENTERPRISE-SLUG>。

7. 在 [設定使用 SAML 單一登錄] 頁面上的 [SAML 簽署憑證] 區段中，尋找 [憑證 [Base64]，然後 選取 [下載]，以下載憑證並將其儲存在您的計算機上。

   

8. 在 「設定 GitHub Enterprise Cloud - Enterprise Account」 區段上，根據您的需求複製適當的 URL。

   

建立 Microsoft Entra 測試使用者

在本節中，您會在 Azure 入口網站中建立名為 B.Simon的測試使用者。

1. 以至少 使用者管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 身分識別>使用者>[所有使用者]。
3. 選取畫面頂端的 [新增使用者>建立新使用者]。
4. 在 User 屬性中，遵循下列步驟：
   1. 在 [顯示名稱] 欄位中，輸入 B.Simon。
   2. 在 [使用者主體名稱] 欄位中，輸入 username@companydomain.extension。 例如，B.Simon@contoso.com。
   3. 選取 [顯示密碼] 複選框，然後記下 [密碼] 方塊中顯示的值。
   4. 選取 檢閱 + 建立。
5. 選取 建立。

將Microsoft Entra 使用者和測試用戶帳戶指派給 GitHub 應用程式

在本節中，您會啟用 B.Simon 和您的使用者帳戶，以使用 Azure 單一登入功能，並授予 GitHub Enterprise Cloud - Enterprise 帳戶的存取權。

1. 以至少 雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 身分識別>應用程式>企業應用程式>GitHub 企業雲端 - 企業帳戶。
3. 在應用程式的 [概觀] 頁面中，尋找 [管理] 區段，然後選取 [使用者和群組]。
4. 選取 [新增使用者]，然後在 [新增指派 ] 對話框中選取 [使用者和群組]。
5. 在 [使用者和群組] 對話框中，從 [使用者] 清單中選取 [B.Simon] 和您的使用者帳戶，然後選取畫面底部的 [選取] 按鈕。
6. 如果您需要將角色指派給使用者，您可以從 [選取角色] 下拉式清單中選取。 如果未為此應用程式設定任何角色，您會看到已選取 [預設存取] 角色。
7. 在 [新增指派] 對話框中，選取 [指派] 按鈕。

啟用並測試企業帳戶及其組織的「SAML」

若要在 GitHub Enterprise Cloud - Enterprise Account 端設定單一登錄，請遵循 此 GitHub 檔中所述的步驟。

1. 使用 企業帳戶擁有者的用戶帳戶登入 GitHub.com。
2. 從應用程式中的 [Login URL] 字段中複製值，並將其貼到 GitHub Enterprise 帳戶 SAML 設定中的 [Sign on URL] 字段中。
3. 從應用程式中的 [Azure AD Identifier] 字段中複製值，並將其貼到 GitHub Enterprise 帳戶 SAML 設定中的 [Issuer] 字段中。
4. 複製您在上述步驟中從 Azure 入口網站下載 憑證 （Base64） 的內容，並將其貼到 GitHub Enterprise 帳戶 SAML 設定的適當欄位中。
5. 選取 Test SAML configuration，並確認您可以從 GitHub Enterprise 帳戶驗證至 Microsoft Entra ID。
6. 測試成功之後，請儲存設定。
7. 第一次從 GitHub 企業帳戶透過 SAML 進行驗證之後，GitHub 企業帳戶中會建立 連結的外部身分識別，將已登入的 GitHub 使用者帳戶與 Microsoft Entra 使用者帳戶產生關聯。

為 GitHub Enterprise 帳戶啟用 SAML SSO 之後，預設會為企業帳戶擁有的所有組織啟用 SAML SSO。 所有成員都必須使用 SAML SSO 進行驗證，才能存取其為成員的組織，而企業擁有者必須在存取企業帳戶時使用 SAML SSO 進行驗證。

使用另一個企業帳戶擁有者或組織成員帳戶測試 SSO

針對 GitHub 企業帳戶設定 SAML 整合之後（這也適用於企業帳戶中的 GitHub 組織），其他在 Microsoft Entra 標識符中指派給應用程式的企業帳戶擁有者應該能夠流覽至 GitHub 企業帳戶 URL （https://github.com/enterprises/<enterprise account>），透過 SAML 進行驗證，並存取 GitHub 企業帳戶下的原則和設定。

企業帳戶內組織的擁有者應該能夠 邀請使用者加入其 GitHub 組織。 使用組織擁有者帳戶登入 GitHub.com，並依照文章中的步驟邀請 B.Simon 加入該組織。 如果還沒有 GitHub 使用者帳戶，則必須針對 B.Simon 建立帳戶。

若要在企業帳戶下使用 B.Simon 測試用戶帳戶來測試 GitHub 組織的存取權限：

1. 以組織擁有者的身分，邀請 B.Simon 加入企業帳戶下的組織。
2. 請使用您想要與 B.Simon Microsoft Entra 使用者帳戶連結的用戶帳戶登入 GitHub.com。
3. 使用 B.Simon 帳號登入 Microsoft Entra ID。
4. 移至 GitHub 組織。 應提示使用者透過 SAML 進行驗證。 成功 SAML 驗證之後，B.Simon 應該能夠存取組織資源。

相關內容

設定 GitHub Enterprise Cloud - 企業帳戶後，您可以強制執行會話控件，以即時防止組織的敏感數據遭到外洩和滲透。 會話控制從條件式存取控制延伸。 瞭解如何使用適用於 Cloud Apps 的 Microsoft Defender強制執行會話控制。