Skip to main content

Como configurar o OIDC para usuários empresariais gerenciados

Saiba como gerenciar automaticamente o acesso à sua conta GitHub corporativa configurando o SSO (logon único) do OpenID Connect (OIDC) e habilitando o suporte para a CAP (Política de Acesso Condicional) do IdP.

Quem pode usar esse recurso?

Enterprise Managed Users está disponível para novas contas empresariais em GitHub Enterprise Cloud. Confira Sobre os Enterprise Managed Users.

Observação

O suporte ao OIDC (OpenID Connect) e à CAP (política de acesso condicional) nos Enterprise Managed Users só está disponível para o Microsoft Entra ID (antigo Azure AD).

Sobre o OIDC para usuários empresariais gerenciados

Com Enterprise Managed Users, sua empresa usa seu IdP (provedor de identidade) para autenticar todos os membros. Você pode usar o OpenID Connect (OIDC) para gerenciar a autenticação do seu empresa com usuários gerenciados. Habilitar o SSO do OIDC é um processo de instalação com um clique com certificados gerenciados por GitHub e seu IdP.

Quando sua empresa usa o SSO do OIDC, GitHub usará automaticamente a política de acesso condicional (CAP) do IdP para as condições de IP ao validar interações com GitHub quando os membros usam a interface do usuário da Web ou alteram endereços IP, e para cada autenticação com uma chave personal access token ou chave SSH associada a uma conta de usuário. Consulte Sobre o suporte para a Política de Acesso Condicional do IdP.

Observação

A proteção de CAP para sessões da Web atualmente está em prévia pública e poderá ser alterada.

Se o suporte ao IdP CAP já estiver habilitado para sua empresa, você poderá optar pela proteção estendida para sessões da Web nas configurações de "Authentication security" da empresa. Quando a proteção de sessão da Web está habilitada e as condições de IP de um usuário não são atendidas, ele pode exibir e filtrar todos os recursos de propriedade do usuário, mas não pode exibir os detalhes dos resultados para notificações, pesquisas, painéis pessoais ou repositórios marcados como favoritos.

Você pode ajustar o tempo de vida de uma sessão e a frequência com que um(a) conta de usuário gerenciada precisa se reautenticar com seu IdP alterando a propriedade da política de tempo de vida dos tokens de ID emitidos para GitHub pelo seu IdP. O tempo de vida padrão é de uma hora. Confira Configurar políticas de vida útil de token na documentação da Microsoft.

Para alterar a propriedade da política de tempo de vida, você precisará da ID de objeto associada ao seu Enterprise Managed Users OIDC. Confira Como encontrar o ID de objeto para o aplicativo Entra OIDC.

Observação

Se você precisar de assistência para configurar o tempo de vida da sessão OIDC, entre em contato com Suporte da Microsoft.

Se você usa o SSO do SAML para autenticação no momento, mas gostaria de usar o OIDC e se beneficiar do suporte ao CAP, siga o caminho da migração. Para saber mais, confira Como migrar o SAML para o OIDC.

Aviso

Se você usar o GitHub Enterprise Importer para migrar uma organização do sua instância do GitHub Enterprise Server, use uma conta de serviço isenta do CAP do Entra ID, caso contrário, a migração poderá ser bloqueada.

Suporte do provedor de identidade

O suporte para OIDC está disponível para clientes que usam o Entra ID.

Observação

GitHub não testa nem valida aplicativos da galeria do provedor de identidade (IdP) para uso em ambientes de nuvem governamental, incluindo a Nuvem do Governo do Microsoft Entra ID e a Nuvem do Governo Okta. Problemas de provisionamento de SCIM e autenticação que envolvem aplicativos de galeria nesses ambientes estão fora GitHubdo escopo de suporte.

Cada tenant do Entra ID pode oferecer suporte a apenas uma integração OIDC com Enterprise Managed Users. Se você quiser conectar o Entra ID a mais de uma empresa em GitHub, use SAML. Confira Configurar o logon único SAML para usuários gerenciados pela empresa.

O OIDC não dá suporte à autenticação iniciada por IdP.

Observação

Não há suporte para declarações e atributos OIDC personalizados.

Como configurar o OIDC para usuários empresariais gerenciados

  1. Entre em GitHub como o usuário de configuração para sua nova empresa com o nome de usuário @SHORT-CODE_admin.

  2. Navegue até sua empresa. Por exemplo, na página Enterprises em GitHub.com.

  3. Na parte superior da página, clique em Provedor de identidade.

  4. Em Identity Provider, clique em Single sign-on configuration.

  5. Em "OIDC single sign-on", selecione Enable OIDC configuration.

  6. Para continuar a instalação e ser redirecionado para o Entra ID, clique em Salvar.

  7. Depois que o GitHub redirecionar você ao IdP, entre e siga as instruções para dar consentimento e instalar o aplicativo GitHub Enterprise Managed User (OIDC). Depois que Entra ID solicitar permissões para GitHub Enterprise Managed Users com o OIDC, habilite o Consentimento em nome da sua organização e clique em Aceitar.

    Aviso

    Você precisa entrar no Entra ID como um usuário com direitos de administrador global para consentir com a instalação do aplicativo GitHub Enterprise Managed User (OIDC).

  8. Para garantir que você ainda possa acessar sua empresa GitHub se o IdP não estiver disponível no futuro, clique em Baixar, Imprimir ou Copiar para salvar seus códigos de recuperação. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.

  9. Clique em Habilitar Autenticação OIDC.

Habilitando provisionamento

Depois que você habilitar o SSO do OIDC, habilite o provisionamento. Confira Configuração do provisionamento SCIM para Usuários Gerenciados da Empresa.

Ativando colaboradores convidados

Você pode usar a função de colaborador convidado para conceder acesso limitado a fornecedores e prestadores de serviço na sua empresa. Ao contrário dos membros da empresa, os colaboradores convidados só têm acesso a repositórios internos dentro das organizações em que são membros.

Para usar colaboradores convidados com autenticação OIDC, talvez seja necessário atualizar suas configurações no Entra ID. Confira Ativar colaboradores convidados.