GitHubのエンタープライズ マネージド ユーザーとは
Enterprise Managed Usersでは、外部 ID 管理システム (IdP) からGitHub.comまたはGHE.comで、ユーザーのライフサイクルと認証を管理します。
- IdP は、**** 上に、お客様のエンタープライズにアクセスするための GitHub。
- ****上の企業のリソースにアクセスするには、GitHubする必要があります。
- IdP からユーザー名、プロファイル データ、organization メンバーシップ、リポジトリへのアクセスを制御します。
- 企業で OIDC SSO を使用している場合、 GitHub は IdP の 条件付きアクセス ポリシー (CAP) を使用して、企業とそのリソースへのアクセスを検証します。 「IdP の条件付きアクセス ポリシーのサポートについて」を参照してください。
- マネージド ユーザー アカウント では、パブリック コンテンツを作成 したり、企業外で共同作業を行ったりすることはできません。 「マネージド ユーザー アカウントの機能と制限」を参照してください。
メモ
Enterprise Managed Users は、すべての顧客に最適なソリューションではありません。 ご自分の Enterprise に適しているかどうかの判断については、「GitHub Enterprise Cloud におけるエンタープライズ種別の選択」をご覧ください。
ETU は ID 管理システムとどのように統合されますか?
GitHub は、ID 管理システムの一部の開発者と提携し、Enterprise Managed Users との「舗装されたパス」統合を提供します。 構成を簡略化して完全なサポートを確保するため、認証とプロビジョニングの両方に単一のパートナー IdP を使用します。
パートナー ID プロバイダーとは
パートナー IDP は、SAML または OIDC を使用して認証を提供し、クロスドメイン ID 管理システム (SCIM) を使用してプロビジョニングを提供します。
| パートナー IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| 保守する | |||
| Okta | |||
| PingFederate |
認証とプロビジョニングの両方に 1 つのパートナー IdP を使用する場合、 GitHub はパートナー IdP 上のアプリケーションと IdP と GitHub の統合をサポートします。
サポートされているパートナー以外の ID 管理システムを使用できますか?
認証とプロビジョニングの両方に 1 つのパートナー IdP を使用できない場合、別の ID 管理システムまたはシステムの組み合わせを使用できます。 システムは次の手順を実行する必要があります。
- GitHubの統合ガイドラインに従う
- SAML 2.0 仕様に従って SAML を使用した認証を提供する
- SCIM を使用したユーザー ライフサイクル管理を提供し、SCIM 2.0 仕様に準拠し、GitHubの REST API と通信します (REST API を使用した SCIM でユーザーとグループのプロビジョニング を参照)
GitHub は、認証とプロビジョニングのためにパートナー IdP の混在を明示的にサポートしていません。また、すべての ID 管理システムをテストしていません。 GitHub のサポート チームは、混合または未テストのシステムに関連する問題を支援できない場合があります。 ヘルプが必要な場合は、システムのドキュメント、サポート チーム、またはその他のリソースを参照する必要があります。
重要
SSO と SCIM に対する Okta と Entra ID の組み合わせ (順序は問いません) は、明示的にサポートされていません。 この組み合わせが構成されている場合、GitHub の SCIM API から、プロビジョニングの試行時に ID プロバイダーにエラーが返されます。
ESU のユーザー名とプロファイル情報はどのように管理されますか?
GitHub IdP によって提供される識別子を正規化することで、開発者ごとにユーザー名が自動的に作成されます。 識別子の一意の部分が正規化中に削除されると、競合が発生する場合があります。 「外部認証のユーザー名に関する考慮事項」を参照してください。
マネージド ユーザー アカウントのプロファイル名と電子メール アドレスは、IdP によって提供されます。
- マネージド ユーザー アカウント _は、_GitHubのプロファイル名または電子メール アドレスを変更できません。
- IdP は、1 つのメール アドレスのみを指定できます。
- IdP のユーザーのメール アドレスを変更すると、古いメール アドレスに関連付けられている投稿履歴からユーザーのリンクが解除されます。
EMU のロールとアクセスはどのように管理されますか?
IdP では、各 マネージド ユーザー アカウント に、メンバー、所有者、ゲストコラボレーターなどの 企業内のロールを付与できます。 「企業における役割の能力」を参照してください。
Organization メンバーシップ (およびリポジトリ アクセス) は、手動で管理することも、IdP グループを使用して自動的に更新することもできます。 「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。
マネージド ユーザー アカウントに対する認証GitHub方法
マネージド ユーザー アカウントがGitHubに対して認証できる場所は、認証の構成方法 (SAML または OIDC) によって異なります。 「Enterprise Managed Users による認証」を参照してください。
既定では、認証されていないユーザーがエンタープライズにアクセスしようとすると、 GitHub に 404 エラーが表示されます。 必要に応じて、代わりにシングル サインオン (SSO) への自動リダイレクトを有効にすることができます。 「Enterprise でセキュリティ設定のポリシーを適用する」を参照してください。