ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

SAMLシングルサインオンでのアイデンティティ及びアクセス管理について

SAMLシングルサインオンはGitHub Enterprise Cloudで利用できます。詳しい情報についてはGitHubの製品を参照してください。

Security Assertion Markup Language(SAML)Webブラウザシングルサインオン(SSO)を使うことで、管理者はアイデンティティプロバイダを使ってユーザのアイデンティティとユーザの使うアプリケーションを管理できます。 Organizationのメンバーは、GitHubのOrganizationへのアクセスを許可するアイデンティティプロバイダで認証を行えます。

本記事の内容:

SAML SSO について

SAML SSO では、Organization の管理者は、既存の GitHub ユーザアカウントをサポートされている IdP に接続するようメンバーを招待できます。 SAML SSO は、Organization に対して GitHub 上のリソースに対するアクセス制御のための集中化されたセキュアな方法を提供し、Organization のメンバーが自身のアイデンティティおよびコントリビューションを自身の制御下に置くことができるよう支援します。

Organization のメンバーは Organization の IdP を通じてサインインします。メンバーの既存の GitHub アカウントは、Organization に属する外部のアイデンティティにリンクされます。 この外部のアイデンティティは GitHub アカウントとは分離されてはいますが関連づけられており、リポジトリ、Issue、プルリクエストといった Organization のリソースへのアクセス制御に使われます。

メモ: 外部コラボレーター は、SAML SSO を利用する Organization にアクセスする上で、外部の (SAML) アイデンティティは必要ありません。

Organization のメンバーは SAML プロバイダに定期的にログインして認証を受け、GitHub 上の Organization リソースへのアクセス権を取得しておく必要があります。 このログイン間隔は利用しているアイデンティティプロバイダ (IdP) によって指定されますが、一般的には 24 時間です。 このように定期的にログインしなければならないことから、アクセスの長さには制限があり、ユーザがアクセスを続行するには再認証が必要になります。

Organization の保護されたリソースに API やコマンドラインの Git を使ってアクセスするには、メンバーは個人アクセストークンを作成して利用しなければなりません。 Organization の管理者は、いつでもアクセストークンを削除できます。 詳細は「Organization メンバーのトークンへの認可アクセスの表示と削除」を参照してください。

SAML SSO は無効化、強制なしの有効化、強制ありの有効化ができます。 GitHub Organization での SAML SSO のセットアップと強制に関する詳細は「アイデンティティプロバイダを Organization に接続する」および「Organization で SAML シングルサインオンを施行する」を参照してください。

サポートされているSAMLサービス

弊社では、SAML 2.0 標準を実装するすべてのアイデンティティプロバイダに対して限定的なサポートを提供します。内部的にテストされた以下のアイデンティティプロバイダを公式にサポートします:

IdP が SCIM をサポートしている場合、メンバーはアクセスが IdP でプロビジョニングされたときに自動的に GitHub Organization に参加するよう招待され、アクセスが IdP から削除されたときには自動的に GitHub Organization から削除されます。

GitHub は、SAML シングルログアウトをサポートしません。アクティブな SAML セッションを終了するには、ユーザは SAML サーバーで直接ログアウトしなければなりません。

SAML SSO で Organization にメンバーを追加する

SAML SSO を有効化後、Organization に新しいメンバーを追加する方法はいくつかあります。 Organization のオーナーは、GitHub で手作業または API を使って、新しいメンバーを招待できます。 詳細は GitHub 開発者ドキュメンテーション の「Organization に参加するようユーザを招待する」および「メンバー」を参照してください。

新しいユーザを、Organization のオーナーから招待せずにプロビジョニングするには、https://github.com/orgs/ORGANIZATION/sso/sign_up の URL の ORGANIZATION をあなたの Organization 名に置き換えてアクセスします。 たとえば、あなたの IdP にアクセスできる人なら誰でも、IdP のダッシュボードにあるリンクをクリックして、あなたの GitHub Organization に参加できるよう、IdP を設定できます。

IdP が SCIM をサポートしている場合、あなたの IdP 内の新しいメンバーは、GitHub であなたの Organization に自動的に追加されるようにできます。 詳細は「SCIM について」を参照してください。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください