Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Microsoft Entra ID (früher bekannt als Azure AD) erhältlich.
Informationen zu OIDC für Enterprise Managed Users
Mit Enterprise Managed Users verwendet dein Unternehmen deinen Identitätsanbieter (IdP) für die Authentifizierung aller Mitglieder. Du kannst mit OpenID Connect (OIDC) die Authentifizierung für dein Unternehmen mit verwalteten Benutzer*innen verwalten. Das Aktivieren von OIDC SSO ist ein One-Klick-Einrichtungsprozess mit Zertifikaten, die von GitHub und deinem IdP verwaltet werden.
Wenn Ihr Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) Ihres IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern und bei jeder Authentifizierung mit personal access token bzw. wenn ein mit einem Benutzerkonto verknüpfter SSH-Schlüssel verwendet wird. Siehe Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.
Du kannst die Lebensdauer einer Sitzung und die Häufigkeit anpassen, mit der sich ein verwaltetes Benutzerkonto bei deinem Identitätsanbieter neu authentifizieren muss, indem du die Lebensdauerrichtlinien-Eigenschaft der für GitHub von deinem Identitätsanbieter ausgestellten ID-Token änderst. Die Standardlebensdauer beträgt eine Stunde. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter „Konfigurieren von Tokenlebensdauerrichtlinien“.
Um die Eigenschaft der Lebensdauerrichtlinie zu ändern, benötigen Sie die Objekt-ID, die Ihren Enterprise Managed Users OIDC zugeordnet ist. Weitere Informationen finden Sie unter „Suchen der Objekt-ID für Ihre Entra OIDC-Anwendung“.
Note
Wenn Sie Hilfe beim Konfigurieren der OIDC-Sitzungsdauer benötigen, kontaktieren Sie den Microsoft-Support.
Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.
Warnung: Wenn Sie GitHub Enterprise Importer verwenden, um eine Organisation von deine GitHub Enterprise Server-Instanz zu migrieren, verwenden Sie unbedingt ein Dienstkonto, das von der Entra ID-CAP ausgenommen ist, da Ihre Migration sonst blockiert werden könnte.
Unterstützung für Identitätsanbieter
Unterstützung für OIDC ist für Kunden verfügbar, die Entra ID verwenden.
Jeder Entra ID-Mandant kann nur eine OIDC-Integration mit Enterprise Managed Users unterstützen. Wenn Sie Entra ID auf GitHub mit mehreren Unternehmen verbinden möchten, verwenden Sie stattdessen SAML. Weitere Informationen finden Sie unter „Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen“.
OIDC unterstützt keine idP-initiierte Authentifizierung.
Konfigurieren von OIDC für Enterprise Managed Users
-
Melden Sie sich auf GitHub als Setupbenutzer für Ihr neues Unternehmen mit dem Namen @SHORT-CODE_admin an.
-
Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.
-
Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest. 1. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.
-
Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.
-
Wähle unter „Einmaliges Anmelden mit OpenID Connect“ die Option Einmaliges Anmelden für OIDC anfordern aus.
-
Um die Einrichtung fortzusetzen und zu Entra ID umgeleitet zu werden, klicken Sie auf Speichern.
-
Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Entra ID die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivieren Sie Zustimmung im Namen Ihrer Organisation und klicken SIe dann auf Annehmen.
Warnung: Sie müssen sich bei Entra ID als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.
-
Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
-
Klicke auf OIDC-Authentifizierung aktivieren.
Aktivieren der Bereitstellung
Nach der OIDC SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen finden Sie unter „Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer“.
Aktivieren von Gast-Projektmitarbeitern
Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.
Um Gast-Projektmitarbeiter mit OIDC-Authentifizierung zu verwenden, müssen Sie möglicherweise Ihre Einstellungen in Entra ID aktualisieren. Weitere Informationen finden Sie unter Aktivieren von Gast-Projektmitarbeitern.