ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

SAMLシングルサインオンでのアイデンティティ及びアクセス管理について

If you centrally manage your users' identities and applications with an identity provider (IdP), you can configure Security Assertion Markup Language (SAML) single sign-on (SSO) to protect your organization's resources on GitHub.

SAMLシングルサインオンはGitHub Enterprise Cloudで利用できます。 詳しい情報については「GitHubの製品」を参照してください。

ここには以下の内容があります:

SAML SSO について

SAML SSO gives organization owners and enterprise owners on GitHub a way to control and secure access to organization resources like repositories, issues, and pull requests.

After you configure SAML SSO, members of your GitHub organization will continue to log into their user accounts on GitHub. When a member accesses resources within your organization that uses SAML SSO, GitHub redirects the member to your IdP to authenticate. After successful authentication, your IdP redirects the member back to GitHub, where the member can access your organization's resources.

Enterprise owners can also enforce SAML SSO for all organizations in an enterprise account. For more information, see "Enforcing security settings in your enterprise account."

Note: Outside collaborators aren't required to authenticate with an IdP to access the resources in an organization with SAML SSO. 外部コラボレーターに関する詳しい情報については「Organization の権限レベル」を参照してください。

Before enabling SAML SSO for your organization, you'll need to connect your IdP to your organization. For more information, see "Connecting your identity provider to your organization."

For an organization, SAML SSO can be disabled, enabled but not enforced, or enabled and enforced. After you enable SAML SSO for your organization and your organization's members successfully authenticate with your IdP, you can enforce the SAML SSO configuration. For more information about enforcing SAML SSO for your GitHub organization, see "Enforcing SAML single sign-on for your organization."

Members must periodically authenticate with your IdP to authenticate and gain access to your organization's resources. このログイン間隔は利用しているアイデンティティプロバイダ (IdP) によって指定されますが、一般的には 24 時間です。 このように定期的にログインしなければならないことから、アクセスの長さには制限があり、ユーザがアクセスを続行するには再認証が必要になります。

To access the organization's protected resources using the API and Git on the command line, members must authorize and authenticate with a personal access token or SSH key. For more information, see "Authorizing a personal access token for use with SAML single sign-on" and "Authorizing an SSH key for use with SAML single sign-on."

The first time a member uses SAML SSO to access your organization, GitHub automatically creates a record that links your organization, the member's GitHub account, and the member's account on your IdP. You can view and revoke the linked SAML identity, active sessions, and authorized credentials for members of your organization or enterprise account. For more information, see "Viewing and managing a member's SAML access to your organization" and "Viewing and managing a user's SAML access to your enterprise account."

Organization members must also have an active SAML session to authorize an OAuthアプリケーション. You can opt out of this requirement by contacting GitHub Supportまたは GitHub Premium Support. GitHub does not recommend opting out of this requirement, which will expose your organization to a higher risk of account takeovers and potential data loss.

サポートされているSAMLサービス

SAML 2.0標準を実装するすべてのアイデンティティプロバイダには、限定的なサポートを提供します。 内部的にテストを行った以下のアイデンティティプロバイダは公式にサポートされます。

  • Active Directory フェデレーションサービス (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Some IdPs support provisioning access to a GitHub organization via SCIM. For more information, see "About SCIM."

SAML SSO で Organization にメンバーを追加する

SAML SSO を有効化後、Organization に新しいメンバーを追加する方法はいくつかあります。 Organization のオーナーは、GitHub で手作業または API を使って、新しいメンバーを招待できます。 詳細は GitHub 開発者ドキュメンテーション の「Organization に参加するようユーザを招待する」および「メンバー」を参照してください。

Teamの同期を使い、アイデンティティプロバイダを通じてOrganizationのメンバーの追加や削除を自動的に行えます。 詳しい情報については「アイデンティティプロバイダとGitHub間でのTeamの同期」を参照してください。

新しいユーザを、Organization のオーナーから招待せずにプロビジョニングするには、https://github.com/orgs/ORGANIZATION/sso/sign_up の URL の ORGANIZATION をあなたの Organization 名に置き換えてアクセスします。 For example, you can configure your IdP so that anyone with access to the IdP can click a link on the IdP's dashboard to join your GitHub organization.

If your IdP supports SCIM, GitHub can automatically invite members to join your organization when you grant access on your IdP. If you remove a member's access to your GitHub organization on your SAML IdP, the member will be automatically removed from the GitHub organization. For more information, see "About SCIM."

GitHubはSAMLシングルログアウトをサポートしていません。 To terminate an active SAML session, users should log out directly on your SAML IdP.

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください