我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

关于使用 SAML 单点登录管理身份和访问

SAML 单点登录可用于 GitHub Enterprise Cloud。更多信息请参阅“GitHub 的产品”。

使用安全声明标记语言 (SAML) web 浏览器单点登录 (SSO),管理员可以利用身份提供程序来管理其用户的身份以及他们使用的应用程序。 组织成员可以向身份提供程序验证身份,以获得对您的 GitHub 组织的访问权限。

本文内容

关于 SAML SSO

通过 SAML SSO,组织管理员可邀请成员将其现有的 GitHub 用户帐户连接到支持的 IdP。 SAML SSO 让组织集中、安全地控制对其在 GitHub 上的资源的访问,并且帮助组织成员保持控制其身份和参与。

组织成员通过组织的 IdP 登录,其现有 GitHub 帐户链接到属于组织的外部身份。 此外部身份独立于 GitHub 帐户,但与其相关,用于控制对组织资源(如仓库、议题和拉取请求)的访问。

注:外部协作者 访问使用 SAML SSO 的组织不需要具有外部 (SAML) 身份。

组织成员必须定期登录 SAML 提供程序以验证身份和访问组织在 GitHub 上的资源。 此登录期的持续时间由 IdP 指定,一般为 24 小时。 此定期登录要求会限制访问的时长,您必须重新验证身份后才可继续访问。

要在命令行使用 API 和 Git 访问组织受保护的资源,成员必须创建并使用个人访问令牌。 组织管理员可随时撤销访问令牌。 更多信息请参阅“查看和撤销组织成员访问令牌的权限”。

SAML SSO 可以禁用、启用但不实施或者启用并实施。 有关为 GitHub 组织设置并实施 SAML SSO 的更多信息,请参阅“将身份提供程序连接到组织”和“对组织实施 SAML 单点登录”。

支持的 SAML 服务

我们为实施 SAML 2.0 标准的所有身份提供程序提供有限的支持。我们官方支持这些经过内部测试的身份提供程序:

如果您的 IdP 支持 SCIM,在您的 IdP 中配置访问权限时会自动邀请成员加入 GitHub 组织,当其访问权限从 IdP 删除时,他们也会自动从 GitHub 组织中删除。

GitHub 不支持 SAML 单点注销。要终止活动的 SAML 会话,用户应直接在 SAML 服务器上注销。

使用 SAML SSO 添加成员到组织

在启用 SAML SSO 后,可通过多种方式向组织添加新成员。 组织所有者可在 GitHub 上或使用 API 手动邀请新成员。 更多信息请参阅“邀请用户加入组织”和 GitHub 开发者文档中的“成员”。

要供应新用户而不使用组织所有者的邀请,您可以使用 URL https://github.com/orgs/ORGANIZATION/sso/sign_up,将 ORGANIZATION 替换为组织的名称。 例如,您可以配置 IdP,让能访问 IdP 的任何人都可单击 IdP 仪表板上的链接加入 GitHub 组织。

如果您的 IdP 支持 SCIM,IdP 中的新用户便可自动添加到您在 GitHub 上的组织。 更多信息请参阅“关于 SCIM”。

延伸阅读

问问别人

找不到要找的内容?

联系我们