Note
Die Unterstützung von OpenID Connect (OIDC) und der Richtlinie für bedingten Zugriff für Enterprise Managed Users ist nur in Microsoft Entra ID (früher Azure AD) verfügbar.
Informationen zu OIDC für Enterprise Managed Users
Mit Enterprise Managed Users verwendet dein Unternehmen deinen Identitätsanbieter (IdP) für die Authentifizierung aller Mitglieder. Du kannst mit OpenID Connect (OIDC) die Authentifizierung für dein Unternehmen mit verwalteten Benutzer*innen verwalten. Das Aktivieren von OIDC SSO ist ein One-Klick-Einrichtungsprozess mit Zertifikaten, die von GitHub und deinem IdP verwaltet werden.
Wenn dein Unternehmen OIDC SSO verwendet, nutzt GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (conditional access policy, CAP) deines Identitätsanbieters, um Interaktionen mit GitHub zu überprüfen, wenn Mitglieder die Web-UI verwenden oder die IP-Adressen ändern. Für jede Authentifizierung wird jedem Benutzerkonto ein personal access token oder ein SSH-Schlüssel zugeordnet. Siehe Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.
Note
Der CAP-Schutz für Websitzungen befindet sich derzeit in der public preview und kann noch geändert werden.
Für neue Unternehmen, die die CAP-Unterstützung durch den Identitätsanbieter nach dem 5. November 2024 aktivieren, ist der Schutz für Websitzungen standardmäßig aktiviert.
Bestehende Unternehmen, die die CAP-Unterstützung durch den Identitätsanbieter bereits aktiviert haben, können den erweiterten Schutz für Websitzungen über die Einstellungen ihres Unternehmens unter „Authentifizierungssicherheit“ aktivieren.
Du kannst die Lebensdauer einer Sitzung und die Häufigkeit anpassen, mit der sich ein verwaltetes Benutzerkonto bei deinem Identitätsanbieter neu authentifizieren muss, indem du die Lebensdauerrichtlinien-Eigenschaft der für GitHub von deinem Identitätsanbieter ausgestellten ID-Token änderst. Die Standardlebensdauer beträgt eine Stunde. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter „Konfigurieren von Tokenlebensdauerrichtlinien“.
Um die Eigenschaft der Lebensdauerrichtlinie zu ändern, benötigen Sie die Objekt-ID, die Ihren Enterprise Managed Users OIDC zugeordnet ist. Weitere Informationen finden Sie unter „Suchen der Objekt-ID für Ihre Entra OIDC-Anwendung“.
Note
Wenn Sie Hilfe beim Konfigurieren der OIDC-Sitzungsdauer benötigen, kontaktieren Sie den Microsoft-Support.
Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.
Warnung: Wenn Sie GitHub Enterprise Importer verwenden, um eine Organisation von deine GitHub Enterprise Server-Instanz zu migrieren, verwenden Sie unbedingt ein Dienstkonto, das von der Entra ID-CAP ausgenommen ist, da Ihre Migration sonst blockiert werden könnte.
Unterstützung für Identitätsanbieter
Unterstützung für OIDC ist für Kunden verfügbar, die Entra ID verwenden.
Jeder Entra ID-Mandant kann nur eine OIDC-Integration mit Enterprise Managed Users unterstützen. Wenn Sie Entra ID auf GitHub mit mehreren Unternehmen verbinden möchten, verwenden Sie stattdessen SAML. Weitere Informationen finden Sie unter „Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen“.
OIDC unterstützt keine idP-initiierte Authentifizierung.
Konfigurieren von OIDC für Enterprise Managed Users
-
Melden Sie sich auf GitHub als Setupbenutzer für Ihr neues Unternehmen mit dem Namen @SHORT-CODE_admin an.
-
Klicke in der oberen rechten Ecke von GitHub auf dein Profilfoto und dann auf Dein Unternehmen.
-
Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.
-
Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.
-
Wähle unter „Einmaliges Anmelden mit OpenID Connect“ die Option Einmaliges Anmelden für OIDC anfordern aus.
-
Um die Einrichtung fortzusetzen und zu Entra ID umgeleitet zu werden, klicken Sie auf Speichern.
-
Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Entra ID die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivieren Sie Zustimmung im Namen Ihrer Organisation und klicken SIe dann auf Annehmen.
Warnung: Sie müssen sich bei Entra ID als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.
-
Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
-
Klicke auf OIDC-Authentifizierung aktivieren.
Aktivieren der Bereitstellung
Nach der OIDC SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen finden Sie unter „Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer“.
Aktivieren von Gast-Projektmitarbeitern
Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.
Um Gast-Projektmitarbeiter mit OIDC-Authentifizierung zu verwenden, müssen Sie möglicherweise Ihre Einstellungen in Entra ID aktualisieren. Weitere Informationen finden Sie unter „Aktivieren von Gast-Projektmitarbeitern“.