Brugergodkendelse
Når en bruger er blevet godkendt via din identitetsudbyder (IdP) ved hjælp af SAML-enkeltlogon (SSO), er det næste vigtige trin godkendelse – tildeling af værktøjer som PAT'er (personal access tokens), SSH-nøgler eller OAuth-apps med mulighed for at få adgang til organisationsressourcer.
Automatiserer brugerautorisation med SAML SSO og SCIM
SAML (Security Assertion Markup Language) SSO gør det muligt for virksomheds- og organisationsejere at styre adgangen til GitHub-ressourcer, f.eks. lagre, problemer og pullanmodninger. Integration af SCIM (System for Cross-domain Identity Management) forbedrer adgangskontrollen ved at automatisere brugerklargøring og klargøring.
Med SCIM får nye medarbejdere, der føjes til din IdP, automatisk adgang til GitHub, mens afrejsende brugere fjernes, hvilket reducerer manuelle trin og forbedrer sikkerheden.
Seddel
Uden SCIM understøtter SAML SSO alene ikke automatisk ud klargøring af organisationsmedlemmer.
SCIM tilbagekalder også forældede tokens, når en session er afsluttet, hvilket reducerer sikkerhedsrisici. Uden SCIM skal annullering af forældede tokens udføres manuelt.
Administration af SSH-nøgler og PAT'er med SAML SSO
SAML SSO og SCIM arbejder sammen for at afspejle identitetsændringer i GitHub. For at støtte denne samhørighed:
-
NameIDoguserNameskal matche mellem SAML IdP- og SCIM-klienten. - Gruppér ændringer i din IdP-udløser SCIM-opdateringer i GitHub.
Brugere, der tilgår API'er eller Git, skal bruge en godkendt PAT- eller SSH-nøgle. Disse metoder kan overvåges og knyttes sikkert til SAML SSO.
Klargør brugere ved hjælp af: https://github.com/orgs/ORGANIZATION/sso/sign_upfor at forenkle onboarding. Vis dette link i dit IdP-dashboard.
Når brugerne godkendes første gang, linker GitHub deres konto- og SCIM-data til din organisation. Administratorer kan senere overvåge eller tilbagekalde sessioner og legitimationsoplysninger for at automatisere offboarding.
SCIM-integration med GitHub
SCIM strømliner identitetsstyring i GitHub Enterprise Cloud ved at understøtte både oprindelige integrationer og brugerdefinerede konfigurationer.
Understøttede SCIM-udbydere
GitHub understøtter oprindeligt:
- Okta
- Microsoft Entra ID
- OneLogin
- Ping-identitet
- Google Workspace
Disse integrationer sikrer pålidelig konfiguration og kompatibilitet.
Brugerdefinerede SCIM-integrationer
Hvis din IdP ikke understøttes oprindeligt, kan du bruge GitHubs SCIM-API til at oprette brugerdefinerede integrationer.
Oversigt over SCIM API
SCIM 2.0-API'en giver dig mulighed for at:
- Opret, opdater og slet brugere
- Administrer grupper
Eksempelanmodning om klargøring af en bruger
POST /scim/v2/Users
Content-Type: application/json
{
"userName": "jdoe",
"name": {
"givenName": "John",
"familyName": "Doe"
},
"emails": [
{
"value": "jdoe@example.com",
"primary": true
}
]
}
GitHub behandler denne anmodning og føjer brugeren til din organisation.
Introduktion
For understøttede udbydere
- Log på idP-administrationskonsollen.
- Aktivér SCIM-klargøring.
- Angiv GitHubs SCIM-basis-URL-adresse og ihændehavertoken.
Til brugerdefinerede id'er
- Brug GitHubs SCIM REST API.
- Godkend med et PAT.
- Test integrationen med eksempelanmodninger.
Vigtige fordele ved SCIM-integration
- Provisionering: Opret automatisk konti.
- Opdateringer: Synkroniser roller og afdelinger.
- Klargøring: Fjern adgang med det samme, når brugeren afslutter.
SCIM vs. Manuel brugeradministration
| Aspekt | administration af SCIM-Based | Manuel administration |
|---|---|---|
| Automation- | Automatiserer klargøring og deprovisioning | Manuel indgriben er påkrævet |
| konsistens | Standardiserede brugerdata på tværs af systemer | Risiko for uoverensstemmelser |
| Sikkerhed | Rettidig deaktivering af adgang | Forsinkede eller mistede tilbageførsler |
| skalerbarhed | Skalerer med store brugerbaser | Besværlig i stor skala |
| Overholdelse | Hjælper med at opfylde politik- og overvågningskrav | Sværere at spore og rapportere |
Oprettelse af forbindelse mellem din idP og GitHub
Du kan bruge en understøttet identitetsudbyder eller medbringe din egen SAML 2.0 IdP.
Understøttede id'er (brolagt sti)
- Okta
- Microsoft Entra ID
- Google Workspace
Nogle af fordelene ved at bruge de understøttede ICP'er er:
- Problemfri integration
- GitHub-understøttet
- Lavere installationsindsats
Medbring din egen idP
Medbring din egen IdP kræver SAML 2.0-support. Det har den fordel, at det giver mulighed for fuld fleksibilitet.
Integrationstrin
| Slags | Trin |
|---|---|
| Brolagt sti: | 1. Gå til virksomhedens sikkerhedsindstillinger. 2. Vælg idP'en. 3. Følg installationsvejledningen. |
| Brugerdefineret idP: | 1. Gå til sikkerhedsindstillinger. 2. Vælg brugerdefineret IdP. 3. Angiv SAML-metadata. 4. Valider forbindelsen. |
Sammenligning af IdP-integrationsstier
| Funktion | Brolagt sti | Medbring din egen idP |
|---|---|---|
| Konfigurationsproces | ✅ Automatiseret konfiguration | ⚠️ Manuel konfiguration |
| Fleksibilitet | ⚠️ Begrænset til angivne ICP'er | ✅ Enhver SAML 2.0 IdP |
| Vedligeholdelse | ✅ GitHub-administreret | ⚠️ Organisationsadministrerede |
| Tilpasning | ⚠️ Minimal | ✅ Kan tilpasses fuldt ud |
| Support & opdateringer | ✅ GitHub-understøttet | ⚠️ Selvadministrerede |
Administration af identiteter og adgang
SAML SSO-konfiguration
- Konfigurer DIN SAML SSO URL-adresse.
- Angiv dit offentlige certifikat.
- Tilføj IdP-metadata.
Administration af legitimationsoplysninger
PAT'er og SSH-nøgler skal udtrykkeligt godkendes og knyttes til IdP-identiteter for at få sikker adgang til organisationsressourcer.
Overvågning af SAML-sessioner
- Få vist aktive sessioner i indstillinger.
- Tilbagekald individuelle sessioner efter behov.
Overvejelser i forbindelse med GitHub-medlemskab
| Slags | Overvejelse |
|---|---|
| GitHub-forekomstmedlemskab | - Adgang til offentlige lagre - Opret personlige projekter - Synlighed af offentlig profil |
| Organisationsmedlemskab | - Rollebaseret intern adgang – Profil, der er synlig for organisationsadministratorer - Kan påvirke faktureringen |
| Flere organisationsmedlemskaber | – Forskellige roller på tværs af organisationer - Bredere ressourceadgang - Kompleks tilladelse og fakturering - Kræver streng styring |