Autorizace uživatelů
Jakmile se uživatel úspěšně ověří prostřednictvím zprostředkovatele identity (IDP) pomocí jednotného přihlašování SAML (SSO), dalším důležitým krokem je autorizace – udělení nástrojů, jako jsou osobní přístupové tokeny (PAT), klíče SSH nebo aplikace OAuth s možností přístupu k prostředkům organizace.
Automatizace autorizace uživatelů pomocí jednotného přihlašování SAML a SCIM
Jednotné přihlašování SAML (Security Assertion Markup Language) umožňuje vlastníkům podniků a organizací řídit přístup k prostředkům GitHubu, jako jsou úložiště, problémy a žádosti o přijetí změn. Integrace SCIM (System for Cross-domain Identity Management) vylepšuje řízení přístupu automatizací zřizování a odebíráním uživatelských přístupů.
Díky SCIM mají noví zaměstnanci přidaní do vašeho poskytovatele identity automaticky přístup k GitHubu, zatímco odcházející uživatelé jsou odstraněni, čímž se redukuje počet ručních kroků a zlepšuje zabezpečení.
Poznámka:
Bez SCIM jednotné přihlášení SAML samo o sobě nepodporuje automatické odebrání členů organizace.
SCIM také po skončení relace odvolá zastaralé tokeny a snižuje rizika zabezpečení. Bez SCIM je potřeba odvolat zastaralé tokeny ručně.
Správa klíčů SSH a PAT pomocí jednotného přihlašování SAML
SAML SSO a SCIM společně pracují na odrážení změn identity na GitHubu. Podpora této soudržnosti:
-
NameIDauserNamese musí shodovat mezi SAML IdP a SCIM klientem. - Změny v IdP vyvolají aktualizace SCIM na GitHubu.
Uživatelé, kteří přistupují k rozhraním API nebo Gitu, musí používat autorizovaný klíč PAT nebo SSH. Tyto metody jsou auditovatelné a bezpečně svázané s jednotným přihlašováním SAML.
Pro zjednodušení zaškolení zřiďte uživatele pomocí: https://github.com/orgs/ORGANIZATION/sso/sign_up. Zobrazte tento odkaz na řídicím panelu IdP.
Když se uživatelé poprvé ověří, GitHub propojí jejich účet a data SCIM do vaší organizace. Správci můžou později auditovat nebo odvolat relace a přihlašovací údaje pro automatizaci procesu offboardingu.
Integrace SCIM s GitHubem
SCIM zjednodušuje správu identit v GitHub Enterprise Cloudu tím, že podporuje nativní integrace i vlastní konfigurace.
Podporovaní poskytovatelé SCIM
GitHub nativně podporuje:
- Okta
- Microsoft Entra ID
- OneLogin
- Identita příkazu Ping
- Google Workspace
Tyto integrace zajišťují spolehlivou konfiguraci a kompatibilitu.
Vlastní integrace SCIM
Pokud váš zprostředkovatel identity není nativně podporován, použijte rozhraní API SCIM GitHubu k vytváření vlastních integrací.
Přehled rozhraní API SCIM
Rozhraní API SCIM 2.0 umožňuje:
- Vytváření, aktualizace a odstraňování uživatelů
- Správa skupin
Příklad požadavku na zřízení uživatele
POST /scim/v2/Users
Content-Type: application/json
{
"userName": "jdoe",
"name": {
"givenName": "John",
"familyName": "Doe"
},
"emails": [
{
"value": "jdoe@example.com",
"primary": true
}
]
}
GitHub tento požadavek zpracuje a přidá uživatele do vaší organizace.
Začínáme
U podporovaných poskytovatelů
- Přihlaste se ke konzole pro správu IdP.
- Povolte zřizování SCIM.
- Zadejte základní adresu URL SCIM a nosný token GitHubu.
Pro vlastní poskytovatele identity
- Použijte rozhraní REST API SCIM GitHubu.
- Ověřování pomocí PAT
- Otestujte integraci s ukázkovými požadavky.
Klíčové výhody integrace SCIM
- Zajišťování: Automaticky vytvářet účty.
- Aktualizace: Synchronizace rolí a oddělení
- Odebrání: Při odchodu uživatele okamžitě odeberte přístup.
SCIM vs. Ruční správa uživatelů
| Aspekt | SCIM-Based správa | Ruční správa |
|---|---|---|
| Automatizace | Automatizuje zřizování a rušení zřízení. | Vyžaduje se ruční zásah. |
| Konzistence | Standardizovaná uživatelská data napříč systémy | Riziko nekonzistence |
| Bezpečnost | Včasné deaktivace přístupu | Zpožděné nebo zmeškané odvolání |
| Škálovatelnost | Stupnice s velkými uživatelskými základnami | Obtížné v rozsáhlém měřítku |
| Vyhovění | Pomáhá splňovat požadavky zásad a auditu. | Sledování a hlášení je obtížnější |
Připojení IdP k GitHubu
Můžete použít podporovaného zprostředkovatele identity nebo použít vlastní zprostředkovatele identity SAML 2.0.
Podporované (zpevněné cesty) zprostředkovatele identity
- Okta
- Microsoft Entra ID
- Google Workspace
Mezi výhody použití podporovaných zprostředkovatele identity patří:
- Bezproblémová integrace
- Podpora GitHubu
- Snížení námahy při nastavování
Přineste si svého vlastního zprostředkovatele identity.
Použití vlastního poskytovatele identity vyžaduje podporu SAML 2.0. Má výhodu, že umožňuje plnou flexibilitu.
Kroky integrace
| Typ | Postup |
|---|---|
| Zpevněná cesta: | 1. Přejděte do nastavení podnikového zabezpečení. 2. Vyberte svého zprostředkovatele identity. 3. Postupujte podle pokynů k nastavení. |
| Vlastní poskytovatel identit: | 1. Přejděte do nastavení zabezpečení. 2. Zvolte vlastní IdP (zprostředkovatele identity). 3. Zadejte metadata SAML. 4. Ověřte připojení. |
Porovnání integračních cest poskytovatelů identity
| Vlastnost | Zpevněná cesta | Přineste si svého vlastního zprostředkovatele identity. |
|---|---|---|
| Proces nastavení | ✅ Asistované nastavení | ⚠️ Ruční konfigurace |
| Flexibilita | ⚠✔ Omezeno na uvedené poskytovatele identity | ✅ Jakýkoli zprostředkovatel identity SAML 2.0 |
| Údržba | ✅ Spravovaná GitHubem | ⚠️ Spravováno organizací |
| Přizpůsobení | ⚠️ Minimální | ✅ Plně přizpůsobitelné |
| Podpora a aktualizace | ✅ Podpora GitHubu | ⚠️ Samořízený |
Správa identit a přístupu
Konfigurace jednotného přihlašování SAML
- Nakonfigurujte adresu URL SAML SSO.
- Zadejte veřejný certifikát.
- Přidejte metadata IdP.
Správa přihlašovacích údajů
PAT a SSH klíče musí být explicitně autorizovány a propojeny s identitami IdP, aby bylo možné bezpečně přistupovat k prostředkům organizace.
Auditování relací SAML
- Umožňuje zobrazit aktivní relace v nastavení.
- Podle potřeby zrušte jednotlivé relace.
Důležité informace o členství na GitHubu
| Typ | Zvážení |
|---|---|
| Členství v instanci GitHubu | – Přístup k veřejným úložištím - Vytváření osobních projektů - Viditelnost veřejného profilu |
| Členství v organizaci | – Interní přístup založený na rolích - Profil viditelný pro správce organizace – Může mít vliv na fakturaci. |
| Členství ve více organizacích | – Různé role v organizacích – Širší přístup k prostředkům – Komplexní oprávnění a fakturace – Vyžaduje striktní zásady správného řízení. |