Brugergodkendelse

Fuldført

Når en bruger er blevet godkendt via din identitetsudbyder (IdP) ved hjælp af SAML-enkeltlogon (SSO), er det næste vigtige trin godkendelse – tildeling af værktøjer som PAT'er (personal access tokens), SSH-nøgler eller OAuth-apps med mulighed for at få adgang til organisationsressourcer.

Automatiserer brugerautorisation med SAML SSO og SCIM

SAML (Security Assertion Markup Language) SSO gør det muligt for virksomheds- og organisationsejere at styre adgangen til GitHub-ressourcer, f.eks. lagre, problemer og pullanmodninger. Integration af SCIM (System for Cross-domain Identity Management) forbedrer adgangskontrollen ved at automatisere brugerklargøring og klargøring.

Skærmbillede af SCIM-indstillingen.

Med SCIM får nye medarbejdere, der føjes til din IdP, automatisk adgang til GitHub, mens afrejsende brugere fjernes, hvilket reducerer manuelle trin og forbedrer sikkerheden.

Seddel

Uden SCIM understøtter SAML SSO alene ikke automatisk ud klargøring af organisationsmedlemmer.

SCIM tilbagekalder også forældede tokens, når en session er afsluttet, hvilket reducerer sikkerhedsrisici. Uden SCIM skal annullering af forældede tokens udføres manuelt.

Administration af SSH-nøgler og PAT'er med SAML SSO

SAML SSO og SCIM arbejder sammen for at afspejle identitetsændringer i GitHub. For at støtte denne samhørighed:

  • NameID og userName skal matche mellem SAML IdP- og SCIM-klienten.
  • Gruppér ændringer i din IdP-udløser SCIM-opdateringer i GitHub.

Brugere, der tilgår API'er eller Git, skal bruge en godkendt PAT- eller SSH-nøgle. Disse metoder kan overvåges og knyttes sikkert til SAML SSO.

Skærmbillede af SSH-nøglen.

Klargør brugere ved hjælp af: https://github.com/orgs/ORGANIZATION/sso/sign_upfor at forenkle onboarding. Vis dette link i dit IdP-dashboard.

Når brugerne godkendes første gang, linker GitHub deres konto- og SCIM-data til din organisation. Administratorer kan senere overvåge eller tilbagekalde sessioner og legitimationsoplysninger for at automatisere offboarding.

SCIM-integration med GitHub

SCIM strømliner identitetsstyring i GitHub Enterprise Cloud ved at understøtte både oprindelige integrationer og brugerdefinerede konfigurationer.

Understøttede SCIM-udbydere

GitHub understøtter oprindeligt:

  • Okta
  • Microsoft Entra ID
  • OneLogin
  • Ping-identitet
  • Google Workspace

Disse integrationer sikrer pålidelig konfiguration og kompatibilitet.

Brugerdefinerede SCIM-integrationer

Hvis din IdP ikke understøttes oprindeligt, kan du bruge GitHubs SCIM-API til at oprette brugerdefinerede integrationer.

Oversigt over SCIM API

SCIM 2.0-API'en giver dig mulighed for at:

  • Opret, opdater og slet brugere
  • Administrer grupper

Eksempelanmodning om klargøring af en bruger

POST /scim/v2/Users
Content-Type: application/json

{
  "userName": "jdoe",
  "name": {
    "givenName": "John",
    "familyName": "Doe"
  },
  "emails": [
    {
      "value": "jdoe@example.com",
      "primary": true
    }
  ]
}

GitHub behandler denne anmodning og føjer brugeren til din organisation.

Introduktion

For understøttede udbydere

  1. Log på idP-administrationskonsollen.
  2. Aktivér SCIM-klargøring.
  3. Angiv GitHubs SCIM-basis-URL-adresse og ihændehavertoken.

Skærmbillede af SCIM-konfigurationstrin i IdP's administrative konsol.

Til brugerdefinerede id'er

  1. Brug GitHubs SCIM REST API.
  2. Godkend med et PAT.
  3. Test integrationen med eksempelanmodninger.

Vigtige fordele ved SCIM-integration

  • Provisionering: Opret automatisk konti.
  • Opdateringer: Synkroniser roller og afdelinger.
  • Klargøring: Fjern adgang med det samme, når brugeren afslutter.

SCIM vs. Manuel brugeradministration

Aspekt administration af SCIM-Based Manuel administration
Automation- Automatiserer klargøring og deprovisioning Manuel indgriben er påkrævet
konsistens Standardiserede brugerdata på tværs af systemer Risiko for uoverensstemmelser
Sikkerhed Rettidig deaktivering af adgang Forsinkede eller mistede tilbageførsler
skalerbarhed Skalerer med store brugerbaser Besværlig i stor skala
Overholdelse Hjælper med at opfylde politik- og overvågningskrav Sværere at spore og rapportere

Oprettelse af forbindelse mellem din idP og GitHub

Du kan bruge en understøttet identitetsudbyder eller medbringe din egen SAML 2.0 IdP.

Understøttede id'er (brolagt sti)

  • Okta
  • Microsoft Entra ID
  • Google Workspace

Nogle af fordelene ved at bruge de understøttede ICP'er er:

  • Problemfri integration
  • GitHub-understøttet
  • Lavere installationsindsats

Medbring din egen idP

Medbring din egen IdP kræver SAML 2.0-support. Det har den fordel, at det giver mulighed for fuld fleksibilitet.

Integrationstrin

Slags Trin
Brolagt sti: 1. Gå til virksomhedens sikkerhedsindstillinger.
2. Vælg idP'en.
3. Følg installationsvejledningen.
Brugerdefineret idP: 1. Gå til sikkerhedsindstillinger.
2. Vælg brugerdefineret IdP.
3. Angiv SAML-metadata. 4. Valider forbindelsen.

Sammenligning af IdP-integrationsstier

Funktion Brolagt sti Medbring din egen idP
Konfigurationsproces ✅ Automatiseret konfiguration ⚠️ Manuel konfiguration
Fleksibilitet ⚠️ Begrænset til angivne ICP'er ✅ Enhver SAML 2.0 IdP
Vedligeholdelse ✅ GitHub-administreret ⚠️ Organisationsadministrerede
Tilpasning ⚠️ Minimal ✅ Kan tilpasses fuldt ud
Support & opdateringer ✅ GitHub-understøttet ⚠️ Selvadministrerede

Administration af identiteter og adgang

SAML SSO-konfiguration

  1. Konfigurer DIN SAML SSO URL-adresse.
  2. Angiv dit offentlige certifikat.
  3. Tilføj IdP-metadata.

Administration af legitimationsoplysninger

PAT'er og SSH-nøgler skal udtrykkeligt godkendes og knyttes til IdP-identiteter for at få sikker adgang til organisationsressourcer.

Overvågning af SAML-sessioner

  • Få vist aktive sessioner i indstillinger.
  • Tilbagekald individuelle sessioner efter behov.

Overvejelser i forbindelse med GitHub-medlemskab

Slags Overvejelse
GitHub-forekomstmedlemskab - Adgang til offentlige lagre
- Opret personlige projekter
- Synlighed af offentlig profil
Organisationsmedlemskab - Rollebaseret intern adgang
– Profil, der er synlig for organisationsadministratorer
- Kan påvirke faktureringen
Flere organisationsmedlemskaber – Forskellige roller på tværs af organisationer
- Bredere ressourceadgang
- Kompleks tilladelse og fakturering
- Kræver streng styring