Enterprise Managed Users の概要

Enterprise Managed Users を使用して GitHub Enterprise Cloud を構成するには、社内で異なる可能性がある複数の役割間の調整が必要になります。このガイドでは、GitHub Enterprise 環境を適切に設定するために、必要不可欠な重要ポイントを説明します。これをもとに、適切なメンバーを集め、連携して作業を進めることができます。

ドキュメントを調べる

アカウント チームに必要な情報を提供した後:

  • 初期管理者ユーザーのメール アドレス (社内の特定のユーザーに関連付けるのではなく、グループ配布リストにはサービス アカウント ユーザーを推奨します)

  • エンタープライズ スラッグ (URL https://github.com/enterprises/<your slug> 内のエンタープライズ アカウントの短い識別子)

  • Enterprise Managed Users の名前空間 (ショート コードとも呼ばれます)。グローバルに一意であり、4 から 8 文字の英数字である必要があります。username_namespace の形式で全員のユーザー名に追加されます

最初の管理者ユーザー アカウントのメール アドレスはアクティベーションメールを受信します。受信者は 24 時間以内に応答してパスワードを設定する必要があります。これを行わないと、パスワードをリセットする必要が生じ、セットアップにさらなる負担がかかります。

EMU で GitHub Enterprise アカウントを簡単にセットアップできるようにするには、社内で連携する必要がある 2 つの主要な責任範囲があります。これらは、Identity Management チームと、GitHub Enterprise アカウントの実行と管理を担当するチームです。

認証

GitHub Enterprise 管理者ユーザーは、GitHub Enterprise アカウントを選択した IdP にバインドするために使用されます。このガイドでは、Entra ID (旧名 Azure AD) に焦点を当てて説明します。

構成できる認証バインディングには、OIDC と SAML の 2 つがあります。OIDC バインディングは、SAML バインディング上で Entra ID Conditional Access Policies (条件付きアクセス ポリシー 、CAP) IP 条件の追加サポートを提供します。OIDC を使用して認証を設定すると、Entra ID CAP IP 条件を利用して、GitHub とのユーザー対話を検証できます。

推奨される OIDC オプションのセットアップとバインドのプロセスには、次のものが必要です。

  • パスワードが設定された GitHub EMU 管理者アカウント(ショートコード_admin という名前)

  • グローバル管理者権限を持つ Entra ID のユーザー アカウント 

Entra ID と GitHub のユーザーが社内の別の関係者によって所有されている場合は、Entra ID でエンタープライズ アプリケーションを構成し、次に GitHub エンタープライズ認証のセキュリティ設定を構成するときに、構成オプションの情報を共有して伝える必要があることに注意してください。

GitHub EMU 管理者アカウントがログインし、Enterprise (https://github.com/enterprises/<your slug>;) に移動したら、[設定] >> [認証セキュリティ] ページで OIDC セットアップを開始します。詳細については、「エンタープライズ マネージド ユーザーの OIDC の構成」を参照してください。

ユーザー プロビジョニング

認証が設定されたら、GitHub でユーザーのプロビジョニング機能を設定します。これにより、選択した Entra ID ユーザーのユーザー アカウントが GitHub Enterprise Cloud プラットフォーム上に自動的に作成されるようになります。 

プロビジョニングが機能するには、GitHub 用 Entra ID Enterprise アプリケーションと GitHub Enterprise アカウントの間の接続を確立することが必要になります。この接続を設定するには、次のものが必要です。

  • プロビジョニングを設定する権限を持つ Entra ID ユーザー アカウント。アプリケーション管理者、クラウド アプリケーション管理者、アプリケーション所有者、または全体管理者のいずれかの権限が必要です。

    • アプリケーション管理者またはアプリケーション所有者を使用している場合は、作成した認証用の権限が GitHub アプリケーションに適用されていることを確認してください。

  • 管理者権限 (admin:enterprise) を持つ、既定の GitHub 管理者アカウントの PAT トークンを使用してください (この設定には個人ユーザーアカウントを使用しないでください。ユーザーがプロビジョニング解除されるとバインディングが破損します)。

  • エンタープライズ アプリケーションに割り当てられた (または割り当て可能な) 1 名以上の Entra ID ユーザーをプロビジョニングし、SCIM プロビジョニングをテストします。

PAT を作成する手順と、この PAT を使用して Azure AD 内でプロビジョニングを設定する手順を参照してください。 

プロビジョニングが設定されたら、Entra ID の GitHub Enterprise Managed User (OIDC) アプリケーションにユーザーを追加し、次のプロビジョニング サイクルを待つか、手動プロビジョニングを使用できるようになります。GitHub Enterprise アカウントを管理できるように、必ず Enterprise Owner ロールを数名のユーザーに割り当ててください。 

この時点で、プロビジョニングされたユーザーの 1 名(ユーザー名 ログイン_ショートコード)で GitHub にログインすると、認証のために Entra ID にリダイレクトされ、このユーザーの GitHub プロファイルに正常にアクセスできるはずです。

まだ助けが必要ですか?

ID プロバイダー (IdP) から GitHub 上の Enterprise メンバーの ID とアクセスを一元管理する方法に関するドキュメントを確認してください。

ドキュメントを調べる