Samouczek: integracja logowania jednokrotnego firmy Microsoft z organizacją GitHub Enterprise Cloud

Z tego samouczka dowiesz się, jak zintegrować organizację usługi GitHub Enterprise Cloud z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu organizacji GitHub Enterprise Cloud z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do organizacji gitHub Enterprise Cloud.
• Zarządzanie dostępem do organizacji GitHub Enterprise Cloud w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

• Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
• Organizacja usługi GitHub utworzona w usłudze GitHub Enterprise Cloud, która wymaga planu rozliczeniowego GitHub Enterprise.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft Entra w środowisku testowym.

• Usługa GitHub obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

• Usługa GitHub obsługuje automatyczną aprowizację użytkowników (zaproszenia organizacji).

Dodawanie aplikacji GitHub z galerii

Aby skonfigurować integrację usługi GitHub z identyfikatorem Entra firmy Microsoft, należy dodać usługę GitHub z galerii do swojej listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
3. W sekcji Dodawanie z galerii wpisz GitHub w polu wyszukiwania.
4. Wybierz pozycję GitHub Enterprise Cloud — organizacja z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie logowania jednokrotnego microsoft Entra dla usługi GitHub

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft w usłudze GitHub przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem w usłudze GitHub.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w usłudze GitHub, wykonaj następujące kroki:

1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
   2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
2. Konfigurowanie logowania jednokrotnego w usłudze GitHub — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
   1. Tworzenie użytkownika testowego usługi GitHub — aby mieć w usłudze GitHub odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do sekcji Identity>Applications Enterprise Applications>>— logowanie jednokrotne w usłudze GitHub.>

3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

   

5. W sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

   a. W polu tekstowym Identyfikator (identyfikator jednostki) wpisz adres URL, używając następującego wzorca: https://github.com/orgs/<Organization ID>

   b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://github.com/orgs/<Organization ID>/saml/consume

   c. W polu tekstowym Adres URL logowania wpisz adres URL, używając następującego wzorca: https://github.com/orgs/<Organization ID>/sso

   Uwaga

   Należy pamiętać, że nie są to rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. W tym miejscu zalecamy użycie unikatowej wartości ciągu w identyfikatorze. Przejdź do sekcji dotyczącej administrowania aplikacją GitHub, aby pobrać te wartości.

6. Aplikacja GitHub oczekuje asercji SAML w określonym formacie, który wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenów języka SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych, gdzie jako unikatowy identyfikator użytkownika (identyfikator nazwy) jest mapowany na user.userprincipalname. Aplikacja GitHub oczekuje , że unikatowy identyfikator użytkownika (identyfikator nazwy) zostanie zamapowany na user.mail, więc musisz edytować mapowanie atrybutów, klikając ikonę Edytuj i zmieniając mapowanie atrybutów.

   

7. Na stronie Konfigurowanie logowania jednokrotnego za pomocą protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij link Pobierz, aby pobrać certyfikat (Base64) z podanych opcji zgodnie z wymaganiami i zapisać go na komputerze.

   

8. W sekcji Konfigurowanie aplikacji GitHub skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

   

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
4. We właściwościach użytkownika wykonaj następujące kroki:
   1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
   2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
   4. Wybierz pozycję Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do usługi GitHub.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do witryny Identity>Applications Dla aplikacji>>dla przedsiębiorstw GitHub.

3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie i wybierz pozycję Użytkownicy i grupy.

4. Wybierz pozycję Dodaj użytkownika, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .

5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.

6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".

   

7. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego usługi GitHub

1. W innym oknie przeglądarki internetowej zaloguj się do witryny organizacji usługi GitHub jako administrator.

2. Przejdź do Ustawienia i kliknij pozycję Zabezpieczenia.

   

3. Zaznacz pole Włącz uwierzytelnianie SAML, ujawniając pola konfiguracji logowania jednokrotnego, wykonaj następujące kroki:

   

   a. Skopiuj wartość adresu URL logowania jednokrotnego i wklej tę wartość w polu tekstowym Adres URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.

   b. Skopiuj wartość adresu URL usługi konsumenta asercji i wklej tę wartość w polu tekstowym Adres URL odpowiedzi w podstawowej konfiguracji protokołu SAML.

4. Skonfiguruj następujące pola:

   

   a. W polu tekstowym Adres URL logowania wklej wartość adresu URL logowania skopiowaną wcześniej.

   b. W polu tekstowym Wystawca wklej skopiowaną wcześniej wartość Identyfikator entra firmy Microsoft.

   c. Otwórz certyfikat pobrany z witryny Azure Portal w programie Notatnik i wklej jego zawartość w polu tekstowym Public Certificate (Certyfikat publiczny).

   d. Kliknij ikonę edycji, aby zmodyfikować wartości pól Signature Method (Metoda podpisu) i Digest Method (Metoda szyfrowania) z RSA-SHA1 i SHA1 na RSA-SHA256 i SHA256, jak pokazano poniżej.

   e. Zaktualizuj adres URL usługi assertion consumer service (adres URL odpowiedzi) z domyślnego adresu URL, aby adres URL w usłudze GitHub był zgodny z adresem URL rejestracji aplikacji platformy Azure.

   

5. Kliknij przycisk Test SAML configuration (Testuj konfigurację SAML), aby się upewnić, że podczas logowania jednokrotnego nie występują żadne niepowodzenia weryfikacji ani błędy.

   

6. Kliknij pozycję Zapisz

Uwaga

Logowanie jednokrotne w aplikacji GitHub przeprowadza uwierzytelnianie w konkretnej organizacji w usłudze GitHub i nie zastępuje uwierzytelniania samej usługi GitHub. W związku z tym jeśli sesja użytkownika w witrynie github.com wygaśnie, w czasie logowania jednokrotnego może pojawić się prośba o uwierzytelnienie za pomocą identyfikatora/hasła usługi GitHub.

Tworzenie użytkownika testowego w aplikacji GitHub

Celem tej sekcji jest utworzenie użytkownika o nazwie Britta Simon w aplikacji GitHub. Aplikacja GitHub obsługuje automatyczną aprowizację użytkowników, która jest domyślnie włączona. Więcej szczegółów dotyczących konfigurowania automatycznej aprowizacji użytkowników można znaleźć tutaj.

Jeśli potrzebujesz utworzyć użytkownika ręcznie, wykonaj następujące czynności:

1. Zaloguj się do firmowej witryny aplikacji GitHub jako administrator.

2. Kliknij kartę People (Osoby).

   

3. Kliknij przycisk Invite member (Zaproś członka).

   

4. W oknie dialogowym Invite member (Zapraszanie członka) wykonaj następujące kroki:

   a. W polu tekstowym Email (Adres e-mail) wpisz adres e-mail konta użytkownika Britta Simon.

   

   b. Kliknij przycisk Send Invitation (Wyślij zaproszenie).

   

   Uwaga

   Właściciel konta Microsoft Entra otrzyma wiadomość e-mail i użyje linku, aby potwierdzić swoje konto, zanim stanie się aktywne.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

• Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do adresu URL logowania w usłudze GitHub, w którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do adresu URL logowania w usłudze GitHub i zainicjuj przepływ logowania z tego miejsca.

• Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka GitHub w Moje aplikacje nastąpi przekierowanie do adresu URL logowania usługi GitHub. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu usługi GitHub możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.