SAML单点登录(SSO)为使用GitHub企业云的组织所有者和企业所有者提供了一种控制和保护对组织资源(如存储库、问题和请求)的访问的方法。组织所有者可以邀请您在GitHub上的个人帐户加入使用SAML SSO的组织,这允许您为组织做出贡献,并在GitHub上保留现有身份和贡献。
如果您是具有托管用户的企业的成员,那么您将使用为您提供并由企业控制的新帐户。有关详细信息,请参阅“GitHub帐户的类型”
当您尝试访问使用SAML SSO的组织内的大多数资源时,GitHub会将您重定向到该组织的SAML IdP进行身份验证。在您成功使用IdP上的帐户进行身份验证后,IdP会将您重定向回GitHub,在那里您可以访问组织的资源。
以某些方式访问公共存储库不需要IdP身份验证:
- 在GitHub上查看存储库的概述页面和文件内容
- 分叉存储库
- 通过Git执行读取操作,例如克隆存储库
对公共存储库的其他访问需要身份验证,例如查看问题、请求、项目和发布。
注:外部合作者不需要SAML身份验证。有关外部合作者的更多信息,请参阅“组织中的角色”
如果您最近在浏览器中使用组织的SAML IdP进行了身份验证,那么当您访问使用SAML SSO的GitHub组织时,您将自动获得授权。如果您最近未在浏览器中使用组织的SAML IdP进行身份验证,则必须先在SAML IdP进行身份认证,然后才能访问组织。
您必须定期使用SAML IdP进行身份验证,以验证和访问GitHub上的组织资源。此登录期的持续时间由您的IdP指定,通常为24小时。这种定期登录要求限制了访问的长度,并要求您重新确认身份才能继续。您可以在安全设置中查看和管理活动SAML会话。有关详细信息,请参阅“查看和管理活动SAML会话”
当您使用IdP帐户进行身份验证并返回GitHub时,GitHup将在组织或企业中记录您的GitHub个人帐户和您登录的SAML身份之间的链接。此链接标识用于验证您在该组织中的成员身份,并且根据您的组织或企业设置,还用于确定您是哪个组织和团队的成员。每个GitHub帐户可以精确链接到每个组织的一个SAML标识。同样,每个SAML标识都可以精确地链接到组织中的一个GitHub帐户。
如果您使用已链接到另一个GitHub帐户的SAML标识登录,则会收到一条错误消息,指示您无法使用该SAML身份登录。如果您试图使用新的GitHub帐户在组织内部工作,则可能会发生这种情况。如果您不打算对该GitHub帐户使用该SAML身份,那么您需要注销该SANL身份,然后重复SAML登录。如果您确实想将该SAML身份用于GitHub帐户,则需要要求管理员取消SAML标识与旧帐户的链接,以便将其链接到新帐户。根据组织或企业的设置,管理员可能还需要在SAML提供者中重新分配您的身份。有关详细信息,请参阅“查看和管理成员对组织的SAML访问”
如果您登录时使用的SAML标识与当前链接到GitHub帐户的SALL标识不匹配,您将收到一条警告,提示您即将重新链接帐户。由于您的SAML标识用于管理访问和团队成员身份,因此继续使用新的SAML标识可能会导致您无法访问GitHub内部的团队和组织。只有当您知道将来应该使用新的SAML身份进行身份验证时,才能继续。
要在使用SAML SSO的组织中使用命令行上的API或Git访问受保护的内容,您需要通过HTTPS使用授权的个人访问令牌或授权的SSH密钥。
如果您没有个人访问令牌或SSH密钥,则可以为命令行创建个人访问令牌,或生成新的SSH密钥。有关详细信息,请参阅“管理个人访问令牌“或”生成新的SSH密钥并将其添加到SSH-agent”
要在使用或实施SAML SSO的组织中使用新的或现有的个人访问令牌或SSH密钥,您需要授权该令牌或授权SSH密钥以供SAML SSO组织使用。有关详细信息,请参阅“授权个人访问令牌用于SAML单点登录“或”授权SSH密钥用于SAML单点登录”
每次授权OAuth应用程序或GitHub应用程序访问使用或强制SAML SSO的组织时,必须具有活动SAML会话。您可以通过导航到来创建活动SAML会话https://github.com/orgs/ORGANIZATION-NAME/so网站在浏览器中。
企业或组织所有者为组织启用或实施SAML SSO后,以及首次通过SAML进行身份验证后,您必须重新授权以前授权访问该组织的任何OAuth应用程序或GitHub应用程序。
要查看您授权的OAuth应用程序,请访问您的OAuth应用页面。要查看您授权的GitHub应用程序,请访问您的GitHub应用程序页面.
有关详细信息,请参阅“SAML和GitHub应用程序”