What is IAM for GitHub?
Чтобы управлять доступом к ресурсам предприятия, вы можете разрешить пользователям использовать личная учетная запись на GitHub.com и при необходимости настроить дополнительные ограничения доступа SAML или подготовить и контролировать учетные записи для вашего предприятия с помощью поставщика удостоверений (IdP) с Enterprise Managed Users.
After learning more about authentication and provisioning for each of these options, to determine which method is best for your enterprise, see Enterprise types for GitHub Enterprise Cloud.
Which authentication method are available to me?
When you create an enterprise on GitHub, you can decide how people authenticate to access your resources and who controls the user accounts.
- Authentication through GitHub.com
- Authentication through GitHub.com with additional SAML access restriction
- Authentication with Enterprise Managed Users and federation
Authentication through GitHub.com
With authentication solely through GitHub.com, each person you want to grant access to your enterprise must create and manage a personal account on GitHub.com. After you grant access to your enterprise, the member can access your enterprise's resources after signing into the account on GitHub.com. The member manages the account, and can contribute to other enterprises, organizations, and repositories on GitHub.com. For more information about personal accounts, see Создание учетной записи на GitHub.
Authentication through GitHub.com with additional SAML access restriction
If you configure additional SAML access restriction, each person you want to grant access to your enterprise must create and manage a personal account on GitHub.com. After you grant access to your enterprise, the member can access your enterprise's resources only after authenticating successfully for both the account on GitHub.com and for an account on your SAML identity provider (IdP). The member can contribute to other enterprises, organizations, and repositories on GitHub.com using their personal account. For more information about requiring SAML authentication for all access your enterprise's resources, see Сведения о SAML для корпоративной системы IAM.
You can choose between configuring SAML at the enterprise level, which applies the same SAML configuration to all organizations within the enterprise, and configuring SAML separately for individual organizations. For more information, see Выбор того, следует ли настроить SAML для вашей организации или организации.
Authentication with Enterprise Managed Users and federation
If you need more control of the accounts for your enterprise members on GitHub, you can use Enterprise Managed Users. With Enterprise Managed Users, you provision and manage accounts for your enterprise members on GitHub using your IdP. Each member signs into an account that you create, and your enterprise manages the account. Contributions outside the enterprise are restricted. For more information, see About Enterprise Managed Users.
How does provisioning work?
If you use authentication through GitHub.com with additional SAML access restriction, people create personal accounts on GitHub.com, and you can grant those personal accounts access to resources in your enterprise. You do not provision accounts.
Alternatively, if you use Enterprise Managed Users, you must configure your IdP to provision user accounts within your enterprise on GitHub.com using System for Cross-domain Identity Management (SCIM). For more information, see Подготовка учетных записей для управляемых пользователей enterprise.
Which IdPs are supported?
Если вы решили создать предприятие, использующее личная учетная запись на GitHub.com, можно настроить дополнительную проверку подлинности с помощью внешней системы управления удостоверениями, которая соответствует стандарту SAML 2.0. GitHub также официально поддерживает и проверяет некоторые системы управления удостоверениями. Дополнительные сведения см. в разделе Настройка единого входа SAML для предприятия.
GitHub сотрудничает с некоторыми разработчиками систем управления удостоверениями, чтобы обеспечить интеграцию "проложенный путь" с Enterprise Managed Users. Чтобы упростить конфигурацию и обеспечить полную поддержку, используйте единый идентификатор партнера для проверки подлинности и подготовки. Если вы используете поставщик удостоверений партнера (IdP), можно настроить одно приложение на поставщике удостоверений для обеспечения проверки подлинности и подготовки. Поставщик удостоверений должен поддерживать стандарт SAML 2.0. Кроме того, если вы используете идентификатор Записи (ранее известное как Azure AD), можно настроить проверку подлинности OpenID Connect (OIDC). Если вы не используете поставщик удостоверений партнера или используете только поставщик удостоверений партнера для проверки подлинности, вы можете интегрировать поставщики удостоверений, реализующие стандарты SAML 2.0 и System for Cross-domain Identity Management (SCIM) 2.0. Дополнительные сведения см. в разделе About Enterprise Managed Users.