Como configurar o OIDC para usuários empresariais gerenciados

Saiba como gerenciar automaticamente o acesso à conta empresarial no GitHub ao configurar o SSO (logon único) do OIDC (OpenID Connect) e habilitar o suporte para a CAP (política de acesso condicional) do IdP.

Quem pode usar esse recurso?

O Enterprise Managed Users está disponível para novas contas empresariais no GitHub Enterprise Cloud. Confira "Sobre os Enterprise Managed Users".

Neste artigo

Observação: o suporte ao OIDC (OpenID Connect) e à CAP (Política de Acesso Condicional) no Enterprise Managed Users está disponível somente para o Microsoft Entra ID (o antigo Azure AD).

Sobre o OIDC para usuários empresariais gerenciados

Com Enterprise Managed Users, sua empresa usa o IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OIDC (OpenID Connect) para gerenciar a autenticação do seu empresa com usuários gerenciados. A habilitação do SSO do OIDC é um processo de configuração de um clique com certificados gerenciados pelo GitHub e pelo IdP.

Quando sua empresa usa o SSO do OIDC, o GitHub usa automaticamente as condições de IP da CAP (política de acesso condicional) do IdP para validar as interações com o GitHub quando os membros alteram endereços IP e sempre que um personal access token ou uma chave SSH é associada a uam conta de usuário. Confira “Sobre o suporte para a Política de Acesso Condicional do IdP”.

Note

CAP protection for web sessions is currently in versão prévia pública and may change.

New enterprises that enable IdP CAP support after November 5th, 2024, will have protection for web sessions enabled by default.

Existing enterprises that already enabled IdP CAP support can opt into extended protection for web sessions from their enterprise's "Authentication security" settings.

Você pode ajustar o tempo de vida de uma sessão e a frequência com que um conta de usuário gerenciada precisa ser reautenticado no IdP alterando a propriedade de política de tempo de vida dos tokens de ID emitidos para o GitHub do seu IdP. O tempo de vida padrão é de uma hora. Confira “Configurar políticas de vida útil de token” na documentação da Microsoft.

Para alterar a propriedade de política de vida útil, você precisará do ID de objeto associado ao OIDC do Enterprise Managed Users. Confira "Como encontrar o ID de objeto para o aplicativo Entra OIDC".

Note

Se você precisar de ajuda para configurar a vida útil da sessão do OIDC, entre em contato com o Suporte da Microsoft.

Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para obter mais informações, confira "Como migrar o SAML para o OIDC".

Aviso: se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.

Suporte do provedor de identidade

O suporte para OIDC está disponível para clientes que usam o Entra ID.

Cada locatário do Entra ID pode dar suporte a apenas uma integração OIDC com o Enterprise Managed Users. Se você quiser conectar o Entra ID a mais de uma empresa no GitHub, use o SAML em seu lugar. Confira "Configurar o logon único SAML para usuários gerenciados pela empresa".

O OIDC não dá suporte à autenticação iniciada por IdP.

Como configurar o OIDC para usuários empresariais gerenciados

  1. Entre em GitHub como o usuário de configuração da nova empresa com o nome de usuário @SHORT-CODE_admin.

  2. In the top-right corner of GitHub, click your profile photo, then click Your enterprise.

  3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

  4. Em Configurações, clique em Segurança da autenticação.

  5. Em "Logon único do OpenID Connect", selecione Exigir logon único do OIDC.

  6. Para continuar a instalação e ser redirecionado para o Entra ID, clique em Salvar.

  7. Depois que o GitHub Enterprise Cloud redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Aviso: você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  8. Para garantir que você ainda possa acessar sua empresa no GitHub se o seu IdP não estiver disponível no futuro, clique em Download, Imprimir ou Copiar para salvar os códigos de recuperação. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

  9. Clique em Habilitar Autenticação OIDC.

Habilitando provisionamento

Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".

Habilitar colaboradores convidados

Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.

Para usar colaboradores convidados com autenticação OIDC, talvez seja necessário atualizar suas configurações no Entra ID. Confira "Habilitar colaboradores convidados".