Udostępnij za pośrednictwem

Integracja Microsoft Entra SSO z organizacją GitHub Enterprise Cloud

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować aplikację GitHub Enterprise Cloud Organization z identyfikatorem Microsoft Entra ID. Po zintegrowaniu organizacji GitHub Enterprise Cloud z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do organizacji GitHub Enterprise Cloud.
  • Zarządzanie dostępem do organizacji GitHub Enterprise Cloud w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

Aby skonfigurować integrację usługi GitHub z identyfikatorem Entra firmy Microsoft, należy dodać usługę GitHub z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz GitHub w polu wyszukiwania.
  4. Wybierz pozycję GitHub Enterprise Cloud — organizacja z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego dzierżawcy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfiguracja i testowanie Microsoft Entra SSO dla usługi GitHub

Skonfiguruj i przetestuj Microsoft Entra SSO z GitHub przy użyciu użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a odpowiadającym mu użytkownikiem w GitHubie.

Aby skonfigurować i przetestować Microsoft Entra SSO z usługą GitHub, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne (SSO) Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie testowego użytkownika usługi Microsoft Entra — aby przetestować jednokrotne logowanie do usługi Microsoft Entra z użytkownikiem B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić użytkownikowi B.Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego w usłudze GitHub — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz użytkownika testowego w GitHub — aby mieć w GitHub odpowiednik użytkownika "B.Simon" połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfiguracja logowania jednokrotnego Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Identity>Applications>Enterprise applications>GitHub>Jednokrotne logowanie.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę edycji dla Podstawowej konfiguracji SAML, aby zmodyfikować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, używając następującego wzorca: https://github.com/orgs/<Organization ID>

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://github.com/orgs/<Organization ID>/saml/consume

    c. W polu tekstowym Adres URL logowania wpisz adres URL, używając następującego wzorca: https://github.com/orgs/<Organization ID>/sso

    Uwaga

    Należy pamiętać, że nie są to rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. W tym miejscu zalecamy użycie unikatowej wartości ciągu w identyfikatorze. Przejdź do sekcji dotyczącej administrowania aplikacją GitHub, aby pobrać te wartości.

  6. Aplikacja GitHub oczekuje asercji SAML w określonym formacie, który wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenów SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych, natomiast unikatowy identyfikator użytkownika (identyfikator nazwy) jest mapowany z atrybutem user.userprincipalname. Aplikacja GitHub oczekuje , że unikatowy identyfikator użytkownika (identyfikator nazwy) zostanie zamapowany na user.mail, więc musisz edytować mapowanie atrybutów, klikając ikonę Edytuj i zmieniając mapowanie atrybutów.

    Zrzut ekranu przedstawiający sekcję

  7. Na stronie Konfigurowanie logowania jednokrotnego za pomocą protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij link Pobierz, aby pobrać certyfikat (Base64) z podanych opcji zgodnie z wymaganiami i zapisać go na komputerze.

    Link do pobierania certyfikatu

  8. W sekcji Konfigurowanie aplikacji GitHub skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana, wprowadź B.Simon.
    2. W polu Nazwa główna użytkownika wprowadź username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do usługi GitHub.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Identity>Applications>Enterprise applications>GitHub.

  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.

  4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .

  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.

  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".

    rola użytkownika

  7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie SSO GitHub

  1. W innym oknie przeglądarki internetowej zaloguj się do witryny organizacji usługi GitHub jako administrator.

  2. Przejdź do obszaru Ustawienia i kliknij pozycję Zabezpieczenia.

    Zrzut ekranu przedstawiający menu

  3. Zaznacz pole Włącz uwierzytelnianie SAML, aby ujawnić pola konfiguracji logowania jednokrotnego, i wykonaj następujące kroki:

    Zrzut ekranu przedstawiający sekcję

    a. Skopiuj wartość jednokrotnego logowania URL i wklej tę wartość w pole tekstowe Sign on URL w sekcji Podstawowa konfiguracja SAML.

    b. Skopiuj wartość adresu URL usługi odbiorcy asercji i wklej ją do pola tekstowego Adres URL odpowiedzi w Podstawowej Konfiguracji SAML.

  4. Skonfiguruj następujące pola:

    Zrzut ekranu przedstawiający pola tekstowe

    a. W polu tekstowym Sign on URL wklej wartość Login URL, którą skopiowałeś wcześniej.

    b. W polu tekstowym Wystawca wklej wartość Identyfikator Microsoft Entra, którą skopiowałeś wcześniej.

    c. Otwórz certyfikat pobrany z witryny Azure Portal w programie Notatnik i wklej jego zawartość w polu tekstowym Public Certificate (Certyfikat publiczny).

    d. Kliknij ikonę edycji, aby zmienić Metodę Podpisu i Metodę Skrótu z RSA-SHA1 i SHA1 na RSA-SHA256 i SHA256, jak pokazano poniżej.

    e. Zaktualizuj adres URL usługi assertion consumer service (adres URL odpowiedzi) z domyślnego adresu URL, aby adres URL w GitHub pasował do adresu URL w rejestracji aplikacji Azure.

    Zrzut ekranu przedstawiający obraz.

  5. Kliknij przycisk Testuj konfigurację SAML, aby upewnić się, że podczas SSO nie występują żadne niepowodzenia weryfikacji ani błędy.

    Zrzut ekranu przedstawiający ustawienia.

  6. Kliknij Zapisz

Uwaga

Logowanie jednokrotne w aplikacji GitHub przeprowadza uwierzytelnianie w konkretnej organizacji w usłudze GitHub i nie zastępuje uwierzytelniania samej usługi GitHub. W związku z tym jeśli sesja użytkownika w witrynie github.com wygaśnie, w czasie logowania jednokrotnego może pojawić się prośba o uwierzytelnienie za pomocą identyfikatora/hasła usługi GitHub.

Tworzenie użytkownika testowego w aplikacji GitHub

Celem tej sekcji jest utworzenie użytkownika o nazwie Britta Simon w aplikacji GitHub. Aplikacja GitHub obsługuje automatyczną aprowizację użytkowników, która jest domyślnie włączona. Więcej szczegółów dotyczących konfigurowania automatycznej aprowizacji użytkowników można znaleźć tutaj.

Jeśli potrzebujesz utworzyć użytkownika ręcznie, wykonaj następujące czynności:

  1. Zaloguj się do firmowej witryny aplikacji GitHub jako administrator.

  2. Kliknij People.

    Zrzut ekranu przedstawia witrynę usługi GitHub z wybraną sekcją Osoby.

  3. Kliknij przycisk Invite member (Zaproś członka).

    Zrzut ekranu przedstawiający zapraszanie użytkowników.

  4. W oknie dialogowym Invite member (Zapraszanie członka) wykonaj następujące kroki:

    a. W polu tekstowym Email (Adres e-mail) wpisz adres e-mail konta użytkownika Britta Simon.

    Zrzut ekranu pokazujący opcję 'Zaproś osoby'.

    b. Kliknij przycisk Send Invitation (Wyślij zaproszenie).

    Zrzut ekranu przedstawiający stronę okna dialogowego

    Uwaga

    Właściciel konta Microsoft Entra otrzyma wiadomość e-mail i użyje linku, aby potwierdzić swoje konto, zanim stanie się aktywne.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania w usłudze GitHub, w którym można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania w usłudze GitHub i z tego miejsca rozpocznij proces logowania.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka GitHub w Moje aplikacje nastąpi przekierowanie do adresu URL logowania usługi GitHub. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Powiązana zawartość

Po skonfigurowaniu usługi GitHub możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender dla aplikacji w chmurze.