Примечание.
Поддержка OpenID Connect (OIDC) и политики условного доступа (CAP) для Enterprise Managed Users доступна только для идентификатора Microsoft Entra (ранее известного как Azure AD).
Сведения об OIDC для Управляемых пользователей Enterprise
С Enterprise Managed Users, ваше предприятие использует вашего провайдера идентификации (IdP) для аутентификации всех участников. Вы можете использовать OpenID Connect (OIDC) для управления аутентификацией вашего корпоративный с управляемыми пользователями. Включение OIDC SSO — это процесс настройки в один клик, а сертификаты управляются GitHub вашим IdP.
Когда ваше предприятие использует OIDC SSO, GitHub вы будете автоматически использовать условия политики условного доступа (CAP) вашего IDP для проверки взаимодействия с GitHub использованием веб-интерфейса участниками или изменением IP-адресов, а также для каждой аутентификации с personal access token помощью SSH-ключа, связанного с пользовательской учётной записью. См. Сведения о поддержке политики условного доступа поставщика удостоверений.
Примечание.
Защита CAP для веб-сеансов в настоящее время находится в Публичный предварительный просмотр и может измениться.
Если поддержка IDP CAP уже включена для вашего предприятия, вы можете выбрать расширенную защиту веб-сеансов из параметров безопасности проверки подлинности предприятия. Если защита веб-сеансов включена, и условия IP-адресов пользователя не удовлетворены, они могут просматривать и фильтровать все пользовательские ресурсы, но не могут просматривать сведения о результатах уведомлений, поиска, личных панелей мониторинга или главных репозиториев.
Вы можете регулировать срок действия сессии и частоту управляемая учетная запись пользователя повторной аутентификации с вашим IDP, изменив свойство пожизненного полиса для ID-токенов, выпущенных GitHub из вашего IDP. Время существования по умолчанию составляет один час. См. статью "Настройка политик времени существования маркеров" в документации Майкрософт.
Чтобы изменить свойство пожизненного полиса, вам понадобится идентификатор объекта, связанный с вашим Enterprise Managed Users OIDC. См . раздел AUTOTITLE.
Примечание.
Если вам нужна помощь с настройкой срока сессии OIDC, свяжитесь с служба поддержки Майкрософт.
Если вы в настоящее время используете единый вход SAML для проверки подлинности, но предпочитаете применять OIDC и воспользоваться поддержкой CAP, можно пойти по пути миграции. Дополнительные сведения см. в разделе Миграция с SAML на OIDC.
Предупреждение
Если вы используете GitHub Enterprise Importer для переноса организации из экземпляр GitHub Enterprise Server, обязательно используйте учетную запись службы, которая исключена из capa ID в противном случае миграция может быть заблокирована.
Поддержка поставщиков удостоверений
Поддержка OIDC доступна для клиентов с помощью идентификатора Entra.
Примечание.
GitHub не тестирует и не валидирует галереи идентификаторов (IDP) для использования в Government Cloud средах, включая Microsoft Entra ID Government Cloud и Okta Government Cloud. Вопросы аутентификации и предоставления SCIM, связанные с галерейными приложениями в этих средах, выходят за GitHubрамки поддержки.
Каждый Entra ID арендатор может поддерживать только одну интеграцию OIDC с Enterprise Managed Users. Если вы хотите подключить Entra ID к нескольким предприятиям на GitHub, используйте SAML. См . раздел AUTOTITLE.
OIDC не поддерживает аутентификацию, инициированную поставщиком удостоверений.
Примечание.
Пользовательские утверждения и атрибуты OIDC не поддерживаются.
Настройка OIDC для Управляемых пользователей Enterprise
-
Войдите в GitHub систему как пользователь настройки вашего нового предприятия с именем @SHORT-CODE_adminпользователя .
-
Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.
-
В левой части страницы на боковой панели учетной записи предприятия щелкните поставщик удостоверений.
-
В разделе "Поставщик удостоверений" щелкните конфигурацию единого входа.
-
В разделе "Единый вход OIDC" выберите включить конфигурацию OIDC.
-
Чтобы продолжить настройку и перенаправляться на идентификатор Записи, нажмите кнопку "Сохранить".
-
После того как GitHub перенаправляет вас на ваш идентификатор, войдите в систему, а затем следуйте инструкциям, чтобы дать согласие и установить приложение GitHub Enterprise Managed User (OIDC) . После того как идентификатор записи запрашивает разрешения для GitHub Enterprise Managed Users с помощью OIDC, включите согласие от имени вашей организации, а затем нажмите кнопку "Принять".
Предупреждение
Для предоставления согласия на установку приложения GitHub Enterprise Managed User (OIDC) необходимо войти в систему в качестве пользователя с правами глобального администратора.
-
Чтобы обеспечить доступ к вашей организации по-прежнему на GitHub, если ваш идентификатор недоступен в будущем, нажмите кнопку "Скачать ", " Печать" или "Копировать", чтобы сохранить код восстановления. Дополнительные сведения см. в разделе Скачивание кодов восстановления единого входа для учетной записи предприятия.
-
Нажмите кнопку "Включить проверку подлинности OIDC".
Включение подготовки
После включения единого входа OIDC включите подготовку. См . раздел AUTOTITLE.
Включение гостевых участников совместной работы
Вы можете использовать роль гостевого сотрудника для предоставления ограниченного доступа поставщикам и подрядчикам в вашей организации. В отличие от участников предприятия, гостевые сотрудники имеют доступ только к внутренним репозиториям в организациях, где они являются членами.
Чтобы использовать гостевые сотрудники с проверкой подлинности OIDC, может потребоваться обновить параметры в идентификаторе Записи. См . раздел AUTOTITLE.