Enterprise アカウントのアイデンティおよびアクセス管理について
SAMLシングルサインオン(SSO)は、GitHub上のOrganizationのオーナー及びEnterpriseのオーナーに対し、リポジトリ、Issue、Pull RequestのようなOrganizationのリソースに対するアクセスをコントロールし、セキュアに保つ方法を提供します。 Enterprise のオーナーは、Enterprise アカウントが所有するすべての Organization 全体で、SAML IdP によって SAML SSO と中央での認証を有効にすることができます。 Enterprise アカウントで SAML SSO を有効にした後は、SAML SSO は Enterprise アカウントによって所有されているすべての Organization に対してデフォルトで有効となります。 すべてのメンバーは、自分がメンバーである Organization にアクセスするために SAML SSO を使用して認証するよう求められ、企業のオーナーは Enterprise アカウントにアクセスする際に SAML SSO を使用して認証するよう求められます。 詳しい情報については、「Enterprise アカウントで Organization 用に SAML シングルサインオンを有効にする」を参照してください。
SAML SSO を有効にした後、使用する IdP によっては、追加のアイデンティおよびアクセス管理機能を有効にできる場合があります。
OktaをIdPとして使っており、Enterpriseアカウントのためのプライベートベータに参加しているなら、EnterpriseアカウントOrganizationのメンバーシップをSCIMで管理できます。 SCIMは、IdP上でそれぞれのOrganizationに対応するグループのメンバーかどうかに基づいて、人を自動的にEnterpriseのOrganizationに招待したり削除したりします。 詳しい情報については、「Enterprise アカウント内の Organization のユーザプロビジョニングについて」を参照してください。
IdP として Azure AD を使用している場合は、Team 同期を使用して、各 Organization 内の Team メンバーシップを管理できます。 GitHub TeamをIdPグループと同期すると、IdPグループへの変更はGitHubに自動的に反映され、手動での更新やカスタムスクリプトの必要を減らせます。 IdPをTeam同期と共に使い、新しいメンバーのオンボーディング、Organization内での移動に応じた新しい権限の付与、Organizationからのメンバーアクセスの削除といった管理タスクを扱うことができます。 詳しい情報については、「Enterprise アカウントで Organization の Team 同期を管理する」を参照してください。
サポートされている IdP
以下の IdP はテスト済みで公式にサポートされています。 SAML SSO の場合、SAML 2.0 標準を実装するすべてのアイデンティティプロバイダに対して限定的なサポートが提供されています。 詳しい情報については、OASIS Web サイトの SAML Wiki を参照してください。
| IdP | SAML | ユーザプロビジョニング | Team の同期 |
|---|---|---|---|
| Active Directory フェデレーションサービス (AD FS) | |||
| Azure Active Directory (Azure AD) | |||
| Okta | ベータ | ||
| OneLogin | |||
| PingOne | |||
| Shibboleth |