Autorizace uživatelů

Dokončeno

Jakmile se uživatel úspěšně ověří prostřednictvím zprostředkovatele identity (IDP) pomocí jednotného přihlašování SAML (SSO), dalším důležitým krokem je autorizace – udělení nástrojů, jako jsou osobní přístupové tokeny (PAT), klíče SSH nebo aplikace OAuth s možností přístupu k prostředkům organizace.

Automatizace autorizace uživatelů pomocí jednotného přihlašování SAML a SCIM

Jednotné přihlašování SAML (Security Assertion Markup Language) umožňuje vlastníkům podniků a organizací řídit přístup k prostředkům GitHubu, jako jsou úložiště, problémy a žádosti o přijetí změn. Integrace SCIM (System for Cross-domain Identity Management) vylepšuje řízení přístupu automatizací zřizování a odebíráním uživatelských přístupů.

Snímek obrazovky s nastavením SCIM

Díky SCIM mají noví zaměstnanci přidaní do vašeho poskytovatele identity automaticky přístup k GitHubu, zatímco odcházející uživatelé jsou odstraněni, čímž se redukuje počet ručních kroků a zlepšuje zabezpečení.

Poznámka:

Bez SCIM jednotné přihlášení SAML samo o sobě nepodporuje automatické odebrání členů organizace.

SCIM také po skončení relace odvolá zastaralé tokeny a snižuje rizika zabezpečení. Bez SCIM je potřeba odvolat zastaralé tokeny ručně.

Správa klíčů SSH a PAT pomocí jednotného přihlašování SAML

SAML SSO a SCIM společně pracují na odrážení změn identity na GitHubu. Podpora této soudržnosti:

  • NameID a userName se musí shodovat mezi SAML IdP a SCIM klientem.
  • Změny v IdP vyvolají aktualizace SCIM na GitHubu.

Uživatelé, kteří přistupují k rozhraním API nebo Gitu, musí používat autorizovaný klíč PAT nebo SSH. Tyto metody jsou auditovatelné a bezpečně svázané s jednotným přihlašováním SAML.

Snímek obrazovky s klíčem SSH

Pro zjednodušení zaškolení zřiďte uživatele pomocí: https://github.com/orgs/ORGANIZATION/sso/sign_up. Zobrazte tento odkaz na řídicím panelu IdP.

Když se uživatelé poprvé ověří, GitHub propojí jejich účet a data SCIM do vaší organizace. Správci můžou později auditovat nebo odvolat relace a přihlašovací údaje pro automatizaci procesu offboardingu.

Integrace SCIM s GitHubem

SCIM zjednodušuje správu identit v GitHub Enterprise Cloudu tím, že podporuje nativní integrace i vlastní konfigurace.

Podporovaní poskytovatelé SCIM

GitHub nativně podporuje:

  • Okta
  • Microsoft Entra ID
  • OneLogin
  • Identita příkazu Ping
  • Google Workspace

Tyto integrace zajišťují spolehlivou konfiguraci a kompatibilitu.

Vlastní integrace SCIM

Pokud váš zprostředkovatel identity není nativně podporován, použijte rozhraní API SCIM GitHubu k vytváření vlastních integrací.

Přehled rozhraní API SCIM

Rozhraní API SCIM 2.0 umožňuje:

  • Vytváření, aktualizace a odstraňování uživatelů
  • Správa skupin

Příklad požadavku na zřízení uživatele

POST /scim/v2/Users
Content-Type: application/json

{
  "userName": "jdoe",
  "name": {
    "givenName": "John",
    "familyName": "Doe"
  },
  "emails": [
    {
      "value": "jdoe@example.com",
      "primary": true
    }
  ]
}

GitHub tento požadavek zpracuje a přidá uživatele do vaší organizace.

Začínáme

U podporovaných poskytovatelů

  1. Přihlaste se ke konzole pro správu IdP.
  2. Povolte zřizování SCIM.
  3. Zadejte základní adresu URL SCIM a nosný token GitHubu.

Snímek obrazovky s kroky konfigurace SCIM v konzole pro správu poskytovatele identity

Pro vlastní poskytovatele identity

  1. Použijte rozhraní REST API SCIM GitHubu.
  2. Ověřování pomocí PAT
  3. Otestujte integraci s ukázkovými požadavky.

Klíčové výhody integrace SCIM

  • Zajišťování: Automaticky vytvářet účty.
  • Aktualizace: Synchronizace rolí a oddělení
  • Odebrání: Při odchodu uživatele okamžitě odeberte přístup.

SCIM vs. Ruční správa uživatelů

Aspekt SCIM-Based správa Ruční správa
Automatizace Automatizuje zřizování a rušení zřízení. Vyžaduje se ruční zásah.
Konzistence Standardizovaná uživatelská data napříč systémy Riziko nekonzistence
Bezpečnost Včasné deaktivace přístupu Zpožděné nebo zmeškané odvolání
Škálovatelnost Stupnice s velkými uživatelskými základnami Obtížné v rozsáhlém měřítku
Vyhovění Pomáhá splňovat požadavky zásad a auditu. Sledování a hlášení je obtížnější

Připojení IdP k GitHubu

Můžete použít podporovaného zprostředkovatele identity nebo použít vlastní zprostředkovatele identity SAML 2.0.

Podporované (zpevněné cesty) zprostředkovatele identity

  • Okta
  • Microsoft Entra ID
  • Google Workspace

Mezi výhody použití podporovaných zprostředkovatele identity patří:

  • Bezproblémová integrace
  • Podpora GitHubu
  • Snížení námahy při nastavování

Přineste si svého vlastního zprostředkovatele identity.

Použití vlastního poskytovatele identity vyžaduje podporu SAML 2.0. Má výhodu, že umožňuje plnou flexibilitu.

Kroky integrace

Typ Postup
Zpevněná cesta: 1. Přejděte do nastavení podnikového zabezpečení.
2. Vyberte svého zprostředkovatele identity.
3. Postupujte podle pokynů k nastavení.
Vlastní poskytovatel identit: 1. Přejděte do nastavení zabezpečení.
2. Zvolte vlastní IdP (zprostředkovatele identity).
3. Zadejte metadata SAML. 4. Ověřte připojení.

Porovnání integračních cest poskytovatelů identity

Vlastnost Zpevněná cesta Přineste si svého vlastního zprostředkovatele identity.
Proces nastavení ✅ Asistované nastavení ⚠️ Ruční konfigurace
Flexibilita ⚠✔ Omezeno na uvedené poskytovatele identity ✅ Jakýkoli zprostředkovatel identity SAML 2.0
Údržba ✅ Spravovaná GitHubem ⚠️ Spravováno organizací
Přizpůsobení ⚠️ Minimální ✅ Plně přizpůsobitelné
Podpora a aktualizace ✅ Podpora GitHubu ⚠️ Samořízený

Správa identit a přístupu

Konfigurace jednotného přihlašování SAML

  1. Nakonfigurujte adresu URL SAML SSO.
  2. Zadejte veřejný certifikát.
  3. Přidejte metadata IdP.

Správa přihlašovacích údajů

PAT a SSH klíče musí být explicitně autorizovány a propojeny s identitami IdP, aby bylo možné bezpečně přistupovat k prostředkům organizace.

Auditování relací SAML

  • Umožňuje zobrazit aktivní relace v nastavení.
  • Podle potřeby zrušte jednotlivé relace.

Důležité informace o členství na GitHubu

Typ Zvážení
Členství v instanci GitHubu – Přístup k veřejným úložištím
- Vytváření osobních projektů
- Viditelnost veřejného profilu
Členství v organizaci – Interní přístup založený na rolích
- Profil viditelný pro správce organizace
– Může mít vliv na fakturaci.
Členství ve více organizacích – Různé role v organizacích
– Širší přístup k prostředkům
– Komplexní oprávnění a fakturace
– Vyžaduje striktní zásady správného řízení.