Konfigurieren von OIDC für Enterprise Managed Users

Erfahren Sie, wie Sie den Zugriff auf Ihr Unternehmenskonto auf GitHub automatisch verwalten können, indem Sie OpenID Connect (OIDC) Single Sign-On (SSO) konfigurieren und die Unterstützung für die Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) Ihres IdP aktivieren.

Wer kann dieses Feature verwenden?

Enterprise Managed Users ist für neue Unternehmenskonten auf GitHub Enterprise Cloud verfügbar. Weitere Informationen finden Sie unter „Informationen zu Enterprise Managed Users“.

In diesem Artikel

Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Microsoft Entra ID (früher bekannt als Azure AD) erhältlich.

Informationen zu OIDC für Enterprise Managed Users

Mit Enterprise Managed Users verwendet dein Unternehmen deinen Identitätsanbieter (IdP) für die Authentifizierung aller Mitglieder. Du kannst mit OpenID Connect (OIDC) die Authentifizierung für dein Unternehmen mit verwalteten Benutzer*innen verwalten. Das Aktivieren von OIDC SSO ist ein One-Klick-Einrichtungsprozess mit Zertifikaten, die von GitHub und deinem IdP verwaltet werden.

Wenn Ihr Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) Ihres IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern und bei jeder Authentifizierung mit personal access token bzw. wenn ein mit einem Benutzerkonto verknüpfter SSH-Schlüssel verwendet wird. Siehe Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.

Du kannst die Lebensdauer einer Sitzung und die Häufigkeit anpassen, mit der sich ein verwaltetes Benutzerkonto bei deinem Identitätsanbieter neu authentifizieren muss, indem du die Lebensdauerrichtlinien-Eigenschaft der für GitHub von deinem Identitätsanbieter ausgestellten ID-Token änderst. Die Standardlebensdauer beträgt eine Stunde. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter „Konfigurieren von Tokenlebensdauerrichtlinien“.

Um die Eigenschaft der Lebensdauerrichtlinie zu ändern, benötigen Sie die Objekt-ID, die Ihren Enterprise Managed Users OIDC zugeordnet ist. Weitere Informationen finden Sie unter „Suchen der Objekt-ID für Ihre Entra OIDC-Anwendung“.

Note

Wenn Sie Hilfe beim Konfigurieren der OIDC-Sitzungsdauer benötigen, kontaktieren Sie den Microsoft-Support.

Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.

Warnung: Wenn Sie GitHub Enterprise Importer verwenden, um eine Organisation von deine GitHub Enterprise Server-Instanz zu migrieren, verwenden Sie unbedingt ein Dienstkonto, das von der Entra ID-CAP ausgenommen ist, da Ihre Migration sonst blockiert werden könnte.

Unterstützung für Identitätsanbieter

Unterstützung für OIDC ist für Kunden verfügbar, die Entra ID verwenden.

Jeder Entra ID-Mandant kann nur eine OIDC-Integration mit Enterprise Managed Users unterstützen. Wenn Sie Entra ID auf GitHub mit mehreren Unternehmen verbinden möchten, verwenden Sie stattdessen SAML. Weitere Informationen finden Sie unter „Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen“.

OIDC unterstützt keine idP-initiierte Authentifizierung.

Konfigurieren von OIDC für Enterprise Managed Users

  1. Melden Sie sich auf GitHub als Setupbenutzer für Ihr neues Unternehmen mit dem Namen @SHORT-CODE_admin an.

  2. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest. 1. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Wähle unter „Einmaliges Anmelden mit OpenID Connect“ die Option Einmaliges Anmelden für OIDC anfordern aus.

  6. Um die Einrichtung fortzusetzen und zu Entra ID umgeleitet zu werden, klicken Sie auf Speichern.

  7. Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Entra ID die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivieren Sie Zustimmung im Namen Ihrer Organisation und klicken SIe dann auf Annehmen.

    Warnung: Sie müssen sich bei Entra ID als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.

  8. Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

  9. Klicke auf OIDC-Authentifizierung aktivieren.

Aktivieren der Bereitstellung

Nach der OIDC SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen finden Sie unter „Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer“.

Aktivieren von Gast-Projektmitarbeitern

Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.

Um Gast-Projektmitarbeiter mit OIDC-Authentifizierung zu verwenden, müssen Sie möglicherweise Ihre Einstellungen in Entra ID aktualisieren. Weitere Informationen finden Sie unter Aktivieren von Gast-Projektmitarbeitern.