Поделиться через

Интеграция единого входа в систему Microsoft Entra с организацией GitHub Enterprise Cloud.

  • Статья

В этой статье вы узнаете, как интегрировать GitHub Enterprise Cloud Organization с Microsoft Entra ID. Интеграция GitHub Enterprise Cloud Organization с идентификатором Microsoft Entra ID позволяет:

  • Контролируйте, кто имеет доступ к вашей организации GitHub Enterprise Cloud с помощью Microsoft Entra ID.
  • Управление доступом к организации GitHub Enterprise Cloud в одном центральном расположении.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Чтобы настроить интеграцию GitHub с идентификатором Microsoft Entra ID, необходимо добавить GitHub из коллекции в список управляемых приложений SaaS.

  1. Войдите в систему в Центр администрирования Microsoft Entra как минимум как администратор облачных приложений.
  2. Перейдите к Identity>Applications>корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите GitHub.
  4. Выберите GitHub Enterprise Cloud - Organization на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш арендуемый ресурс.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для GitHub

Настройте и проверьте единый вход Microsoft Entra в GitHub с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в GitHub.

Чтобы настроить и проверить единый вход Microsoft Entra в GitHub, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы позволить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в GitHub необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создайте тестового пользователя GitHub, чтобы в GitHub был пользователь, аналогичный B.Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка SSO Microsoft Entra

Выполните следующие действия, чтобы включить поддержку одноэтапной аутентификации Microsoft Entra.

  1. Войдите в систему в Центр администрирования Microsoft Entra как минимум как администратор облачных приложений.

  2. Перейдите к Identity>Applications>Enterprise applications>GitHub>Single sign-on.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменение базовой конфигурации SAML

  5. На странице Базовая конфигурация SAML введите значения следующих полей.

    a. В текстовое поле Идентификатор (идентификатор сущности) введите URL-адрес в следующем формате: https://github.com/orgs/<Organization ID>.

    b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://github.com/orgs/<Organization ID>/saml/consume.

    c. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://github.com/orgs/<Organization ID>/sso

    Примечание.

    Обратите внимание, что это не реальные значения. Необходимо указать фактические значения идентификатора, URL-адреса ответа и URL-адреса входа. Мы рекомендуем использовать уникальное значение строки идентификатора. Перейдите в раздел администрирования GitHub, чтобы получить эти значения.

  6. Приложение GitHub ожидает утверждения SAML в определенном формате, поэтому следует добавить настраиваемые сопоставления атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимках экрана показан список атрибутов по умолчанию, а уникальный идентификатор пользователя (идентификатор имени) сопоставляется с user.userprincipalname. Приложение GitHub ожидает, что уникальный идентификатор пользователя (Name ID) будет сопоставлен с user.mail, поэтому вам необходимо изменить сопоставление атрибутов, выбрав значок "Изменить" и изменив сопоставление атрибутов.

    Снимок экрана, на котором показан раздел

  7. На странице Настройка единого входа с помощью SAML в разделе сертификат подписи SAML выберите Скачать, чтобы скачать сертификат (Base64) из доступных вариантов в зависимости от ваших потребностей и сохраните его на компьютере.

    Ссылка для скачивания сертификата

  8. Требуемый URL-адрес можно скопировать из раздела Настройка GitHub.

    Копирование URL-адресов настройки

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка единого входа для GitHub

  1. В другом окне веб-браузера войдите на свой корпоративный сайт GitHub в качестве администратора.

  2. Перейдите к Параметры и выберите Безопасность.

    Снимок экрана, на котором показано меню

  3. Установите флажок Enable SAML authentication (Включить аутентификацию SAML). После отображения полей конфигурации единого входа выполните следующие действия:

    Снимок экрана, на котором показан раздел

    a. Скопируйте значение URL-адреса единого входа и вставьте это значение в текстовое поле URL-адреса входа в основной конфигурации SAML.

    b. Скопируйте значение URL-адреса службы потребителей утверждения и вставьте это значение в текстовое поле URL-адреса ответа в базовой конфигурации SAML.

  4. Задайте значения в следующих полях:

    Снимок экрана, на котором показаны текстовые поля

    a. В текстовое поле URL-адреса входа вставьте значение URL-адреса входа, скопированное ранее.

    b. В текстовое поле издателя вставьте значение идентификатора Microsoft Entra, скопированное ранее.

    c. Откройте в Блокноте сертификат, скачанный с портала Azure, и вставьте его содержимое в текстовое поле Public Certificate (Общедоступный сертификат).

    d. Щелкните значок Изменить, чтобы изменить метод подписи и дайджест-метод из RSA-SHA1 и SHA1RSA-SHA256 и SHA256, как показано ниже.

    д) Замените URL-адрес по умолчанию на URL-адрес службы обработчика утверждений (URL-адрес ответа), чтобы URL-адрес в GitHub совпадал с URL-адресом на странице регистрации приложения в Azure.

    Снимок экрана: изображение.

  5. Выберите Проверить конфигурацию SAML, чтобы убедиться, что при SSO нет сбоев валидации или ошибок.

    Снимок экрана: параметры.

  6. Выберите Сохранить

Примечание.

Единый вход в GitHub аутентифицирует пользователя в конкретной организации на GitHub и не заменяет аутентификацию в самом GitHub. Поэтому, если сеанс github.com истёк, вам, возможно, будет предложено пройти аутентификацию с помощью идентификатора и пароля GitHub во время процесса единого входа.

Создание тестового пользователя GitHub

В рамках этого раздела создается пользователь с именем Britta Simon в GitHub. GitHub поддерживает автоматическую подготовку пользователей, которая по умолчанию включена. Дополнительные сведения о настройке автоматической подготовки пользователей можно найти здесь.

Если необходимо создать пользователя вручную, выполните следующие действия:

  1. Выполните вход на свой корпоративный сайт Github в качестве администратора.

  2. Выберите "Люди".

    Снимок экрана, на котором показан сайт GitHub с выбранным разделом

  3. Выберите Пригласить участника.

    Снимок экрана: пункт

  4. На странице диалогового окна Invite member (Приглашение участников) сделайте следующее.

    a. В текстовом поле Электронная почта введите адрес электронной почты учетной записи Britta Simon.

    Скриншот, на котором показана функция

    б. Выберите Отправить приглашение.

    Снимок экрана, на котором показана страница диалогового окна

    Примечание.

    Владелец учетной записи Microsoft Entra получит сообщение электронной почты и следуйте ссылке, чтобы подтвердить свою учетную запись, прежде чем она станет активной.

Проверка единого входа

В этом разделе вы проверяете настройку единого входа Microsoft Entra с помощью следующих параметров.

  • Выберите Протестировать это приложение, этот вариант перенаправит вас на URL-адрес входа в GitHub, где вы сможете начать процесс авторизации.

  • Перейдите напрямую по URL для входа в GitHub и начните процесс входа оттуда.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. При выборе плитки GitHub в разделе "Мои приложения" этот параметр перенаправляется по URL-адресу для входа в GitHub. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

После настройки GitHub вы можете применить функцию управления сеансом, которая в режиме реального времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.