Поделиться через

Интеграция единого входа в систему Microsoft Entra с организацией GitHub Enterprise Cloud.

  • Статья

В этой статье вы узнаете, как интегрировать GitHub Enterprise Cloud Организации с Microsoft Entra ID. Интеграция GitHub Enterprise Cloud Organization с идентификатором Microsoft Entra ID позволяет:

  • Контролируйте, кто имеет доступ к вашей организации GitHub Enterprise Cloud с помощью Microsoft Entra ID.
  • Управление доступом к организации GitHub Enterprise Cloud в одном центральном расположении.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Чтобы настроить интеграцию GitHub с идентификатором Microsoft Entra ID, необходимо добавить GitHub из коллекции в список управляемых приложений SaaS.

  1. Войдите в систему в Центр администрирования Microsoft Entra как минимум как администратор облачных приложений.
  2. Перейдите к Identity>Applications>корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите GitHub.
  4. Выберите GitHub Enterprise Cloud - Organization на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш арендуемый ресурс.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для GitHub

Настройте и проверьте единый вход Microsoft Entra в GitHub с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в GitHub.

Чтобы настроить и проверить единый вход Microsoft Entra в GitHub, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы позволить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в GitHub необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создайте тестового пользователя в GitHub — чтобы в GitHub был создан аналог пользователя B.Simon, связанный с представлением в Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO Microsoft Entra

Выполните следующие действия, чтобы включить поддержку одноэтапной аутентификации Microsoft Entra.

  1. Войдите в систему в Центр администрирования Microsoft Entra как минимум как администратор облачных приложений.

  2. Перейдите к Identity>Applications>Enterprise applications>GitHub>Single sign-on.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Изменение базовой конфигурации SAML

  5. На странице Базовая конфигурация SAML введите значения следующих полей.

    a. В текстовое поле Идентификатор (идентификатор сущности) введите URL-адрес в следующем формате: https://github.com/orgs/<Organization ID>.

    b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://github.com/orgs/<Organization ID>/saml/consume.

    c. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://github.com/orgs/<Organization ID>/sso

    Примечание.

    Обратите внимание, что значения, указанные выше, используются в качестве примера. Необходимо указать фактические значения идентификатора, URL-адреса ответа и URL-адреса входа. Мы рекомендуем использовать уникальное значение строки идентификатора. Перейдите в раздел администрирования GitHub, чтобы получить эти значения.

  6. Приложение GitHub ожидает утверждения SAML в определенном формате, поэтому следует добавить настраиваемые сопоставления атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимках экрана показан список атрибутов по умолчанию, а уникальный идентификатор пользователя (идентификатор имени) сопоставляется с user.userprincipalname. Приложение GitHub ожидает сопоставления уникального идентификатора пользователя (ID) с user.mail, поэтому необходимо изменить сопоставление атрибутов, щелкнув значок Изменить.

    Снимок экрана, на котором показан раздел

  7. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML щелкните Загрузить, чтобы загрузить требуемый сертификат (Base64) из предложенных вариантов, и сохраните его на компьютере.

    Ссылка для скачивания сертификата

  8. Требуемый URL-адрес можно скопировать из раздела Настройка GitHub.

    Копирование URL-адресов настройки

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора пользователя.
  2. Откройте раздел Идентификация>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле основного имени пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле пароля.
    4. Выберите Review + create.
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Salesforce.

  1. Войдите в систему в Центр администрирования Microsoft Entra как минимум как администратор облачных приложений.
  2. Перейдите к Identity>приложениям>корпоративных приложений. Выберите приложение из списка приложений.
  3. На странице обзора приложения выберите Пользователи и группы.
  4. Выберите Добавить пользователя/группу, а затем выберите Пользователи и группы в диалоговом окне Добавить назначение.
    1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку Выбрать в нижней части экрана.
    2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление задания нажмите кнопку Назначить.

Настройка единого входа для GitHub

  1. В другом окне веб-браузера войдите на свой корпоративный сайт GitHub в качестве администратора.

  2. Перейдите к разделу Параметры и щелкните Безопасность.

    Снимок экрана, на котором показано меню

  3. Установите флажок Enable SAML authentication (Включить аутентификацию SAML). После отображения полей конфигурации единого входа выполните следующие действия:

    Снимок экрана, на котором показан раздел

    a. Скопируйте значение URL-адреса единого входа и вставьте это значение в текстовое поле URL-адреса входа в основной конфигурации SAML.

    b. Скопируйте значение URL-адреса службы потребителей утверждения и вставьте это значение в текстовое поле URL-адреса ответа в базовой конфигурации SAML.

  4. Задайте значения в следующих полях:

    Снимок экрана, на котором показаны текстовые поля

    a. В текстовое поле URL-адреса входа вставьте значение URL-адреса входа, скопированное ранее.

    b. В текстовое поле издателя вставьте значение идентификатора Microsoft Entra, скопированное ранее.

    c. Откройте в Блокноте сертификат, скачанный с портала Azure, и вставьте его содержимое в текстовое поле Public Certificate (Общедоступный сертификат).

    d. Щелкните значок Изменить, чтобы изменить метод подписи и метод выборки с RSA-SHA1 и SHA1 на RSA-SHA256 и SHA256, как показано ниже.

    д) Замените URL-адрес по умолчанию на URL-адрес службы обработчика утверждений (URL-адрес ответа), чтобы URL-адрес в GitHub совпадал с URL-адресом на странице регистрации приложения в Azure.

    Снимок экрана: изображение.

  5. Щелкните Test SAML configuration (Проверка конфигурации SAML), чтобы убедиться в отсутствии ошибок проверки или ошибок при выполнении единого входа (SSO).

    Снимок экрана: параметры.

  6. Щелкните Сохранить.

Примечание.

Технология единого входа в GitHub позволяет выполнять аутентификацию определенных организаций и не заменяет метод аутентификации самого репозитория. Поэтому, если сеанс github.com истёк, вам, возможно, будет предложено пройти аутентификацию с помощью идентификатора и пароля GitHub во время процесса единого входа.

Создание тестового пользователя GitHub

В рамках этого раздела создается пользователь с именем Britta Simon в GitHub. GitHub поддерживает автоматическую подготовку пользователей, которая по умолчанию включена. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.

Если необходимо создать пользователя вручную, выполните следующие действия:

  1. Выполните вход на свой корпоративный сайт Github в качестве администратора.

  2. Выберите параметр Пользователи.

    Снимок экрана, на котором показан сайт GitHub с выбранным разделом

  3. Нажмите Invite member (Пригласить участника).

    Снимок экрана: пункт

  4. На странице диалогового окна Invite member (Приглашение участников) сделайте следующее.

    a. В текстовом поле Электронная почта введите адрес электронной почты учетной записи Britta Simon.

    Скриншот, на котором показана функция

    b. Щелкните Send Invitation (Отправить приглашение).

    Снимок экрана, на котором показана страница диалогового окна

    Примечание.

    Владелец учетной записи Microsoft Entra получит сообщение электронной почты и следуйте ссылке, чтобы подтвердить свою учетную запись, прежде чем она станет активной.

Проверка единого входа

В этом разделе вы проверяете настройку единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", вы будете перенаправлены по URL-адресу для входа в GitHub, где можно инициировать поток входа.

  • Перейдите напрямую по URL для входа в GitHub и начните процесс входа оттуда.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку GitHub на портале "Мои приложения", вы перейдете по URL-адресу для входа в GitHub. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

После настройки GitHub вы можете применить функцию управления сеансом, которая в режиме реального времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.