Skip to main content

Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen

Sie können durch Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) mit SAML (Security Assertion Markup Language) den Zugriff auf Ihr Unternehmenskonto auf GitHub automatisch verwalten.

Wer kann dieses Feature verwenden?

Enterprise Managed Users ist für neue Unternehmenskonten auf GitHub Enterprise Cloud verfügbar. Weitere Informationen finden Sie unter „Informationen zu Enterprise Managed Users“.

Bevor Sie die Schritte in diesem Artikel ausführen, müssen Sie sicherstellen, dass in Ihrem Unternehmen verwaltete Benutzer*innen verwendet werden. Überprüfen Sie dazu, ob die Unternehmensansicht im oberen Bildschirmbereich die Kopfleiste „Von KONTONAME verwaltete Benutzerinnen“ enthält. Wenn ja, werden in Ihrem Unternehmen **verwaltete Benutzerinnen** verwendet, und Sie können die Schritte in diesem Artikel ausführen.

Werden in Ihrem Unternehmen persönliche Konten verwendet, müssen Sie einem anderen Prozess zum Konfigurieren von SAML-Single Sign-on folgen. Weitere Informationen finden Sie unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

Informationen zu SAML SSO für Enterprise Managed Users

Bei Enterprise Managed Users muss der Zugriff auf Ihre Enterprise-Ressourcen auf GitHub über Ihren Identitätsanbieter (IdP) authentifiziert werden. Anstatt sich bei GitHub mit einem GitHub-Benutzernamen und -Kennwort anzumelden, erfolgt die Anmeldung von Unternehmensmitgliedern über Ihren IdP.

Nach der Konfiguration von SAML SSO wird empfohlen, die Wiederherstellungscodes zu speichern, damit Sie den Zugriff auf Ihr Unternehmen wiederherstellen können, falls Ihr IdP nicht verfügbar ist.

Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.

Voraussetzungen

  • Befassen Sie sich mit den Integrationsanforderungen und dem Grad der Unterstützung für Ihren Identitätsanbieter.

    • GitHub bietet eine „paved-path“-Integration und volle Unterstützung, wenn Sie einen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.
    • Alternativ können Sie ein beliebiges System oder jede Kombination von Systemen verwenden, die SAML 2.0 und SCIM 2.0 entsprechen. Die Unterstützung für die Lösung von Problemen mit diesen Systemen kann jedoch eingeschränkt sein.

    Ausführlichere Informationen findest du unter Informationen zu Enterprise Managed Users.

  • Ihr IdP muss der SAML 2.0-Spezifikation entsprechen. Siehe das SAML-Wiki auf der OASIS-Website.

  • Sie müssen über Zugriff als Mandantenadministrator auf den Identitätsanbieter verfügen.

  • Wenn Sie SAML-SSO für ein neues Unternehmen konfigurieren, müssen Sie alle vorherigen Schritte bei der Erstkonfiguration ausführen. Weitere Informationen finden Sie unter Erste Schritte mit Enterprise Managed Users.

Konfigurieren von SAML-SSO für Enterprise Managed Users

Um SAML SSO für Ihr Unternehmen mit verwalteten Benutzer*innen zu konfigurieren, müssen Sie eine Anwendung auf Ihrem IdP und dann Ihr Unternehmen auf GitHub konfigurieren. Nach der Konfiguration von SAML SSO können Sie die Benutzerbereitstellung konfigurieren.

  1. Konfigurieren Sie Ihren IdP
  2. Konfigurieren Sie Ihr Unternehmen
  3. Aktivieren der Bereitstellung

Konfigurieren Sie Ihren IdP

  1. Wenn Sie einen Partner-IdP verwenden, klicken Sie auf einen der folgenden Links, um die Anwendung GitHub Enterprise Managed User zu installieren.

  2. Informationen zum Konfigurieren von SAML-SSO für Enterprise Managed Users in Ihrem IdP finden Sie in der folgenden Dokumentation. Wenn Sie keinen Partner-IdP verwenden, können Sie die SAML-Konfigurationsreferenz für GitHub Enterprise Cloud verwenden, um eine generische SAML 2.0-Anwendung auf Ihrem IdP zu erstellen und zu konfigurieren.

  3. Um Ihr Unternehmen zu testen und zu konfigurieren, weisen Sie sich selbst oder den Benutzer, der SAML SSO für Ihr Unternehmen konfigurieren wird, auf GitHub der Anwendung zu, die Sie für Enterprise Managed Users auf Ihrem IdP konfiguriert haben.

    Note

    Um nach der Konfiguration eine erfolgreiche Authentifizierungsverbindung zu testen, muss dem IdP mindestens ein Benutzer zugewiesen werden.

  4. Um die Konfiguration Ihres Unternehmens auf GitHub fortzusetzen, suchen Sie die folgenden Informationen in der Anwendung, die Sie auf Ihrem IdP installiert haben, und notieren Sie sie.

    WertAndere NamenBESCHREIBUNG
    Anmelde-URL des IdPAnmelde-URL, IdP-URLAnwendungs-URL bei deinem IdP
    Bezeichner-URL des IdPIssuer (Aussteller)Bezeichner des IdP für Dienstanbieter für die SAML-Authentifizierung
    Signaturzertifikat, Base64-codiertÖffentliches ZertifikatÖffentliches Zertifikat, das der IdP zum Signieren von Authentifizierungsanforderungen verwendet

Konfigurieren Sie Ihr Unternehmen

Nachdem Sie SAML SSO für Enterprise Managed Users auf Ihrem IdP konfiguriert haben, können Sie Ihr Unternehmen auf GitHub konfigurieren.

Nach der anfänglichen Konfiguration von SAML SSO ist die einzige Einstellung, die Sie auf GitHub für Ihre bestehende SAML-Konfiguration aktualisieren können, das SAML-Zertifikat. Wenn Sie die Anmelde-URL oder die Aussteller-URL aktualisieren müssen, müssen Sie zuerst SAML SSO deaktivieren und dann SAML SSO mit den neuen Einstellungen erneut konfigurieren. Weitere Informationen findest du unter Deaktivieren der Authentifizierung und Bereitstellung für Enterprise Managed Users.

  1. Melden dich bei GitHub.com als Setupbenutzer für dein Unternehmen mit dem Benutzernamen SHORT-CODE_admin an, wobei du SHORT-CODE durch den Kurzcode deines Unternehmens ersetzt.

    Hinweis: Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Supportportal an den GitHub-Support. Die übliche Option für die Kennwortzurücksetzung (E-Mail-Adresse angeben) funktioniert nicht.

  2. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest. 1. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Wählen Sie unter „SAML Single Sign-On“ die Option SAML-Authentifizierung erzwingen aus.

  6. Geben Sie unter Anmelde-URL den HTTPS-Endpunkt Ihres IdP für SSO-Anfragen ein, den Sie bei der Konfiguration Ihres IdP notiert haben.

  7. Geben Sie unter Aussteller die SAML-Aussteller-URL ein, die Sie bei der Konfiguration des IdP notiert haben, um die Authentizität gesendeter Nachrichten zu überprüfen.

  8. Füge unter Öffentliches Zertifikat das Zertifikat ein, das du dir bei der Konfiguration des IdP notiert hast, um SAML-Antworten zu überprüfen.

  9. Klicke unter deinem öffentlichen Zertifikat rechts neben den aktuellen Signatur- und Digestmethoden auf .

    Screenshot der aktuellen Signaturmethode und Digestmethode in den SAML-Einstellungen. Das Stiftsymbol ist mit einem orangefarbenen Umriss hervorgehoben.

  10. Wähle dann in den Dropdownmenüs Signaturmethode und Digestmethode den Hashalgorithmus aus, den dein SAML-Aussteller verwendet.

  11. Klicke auf SAML-Konfiguration testen, bevor du SAML SSO für dein Unternehmen aktivierst, um dich zu vergewissern, dass die eingegebenen Informationen korrekt sind. Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.

  12. Klicke auf Speichern.

    Hinweis: Nachdem Sie SAML SSO für Ihr Unternehmen aktiviert und die SAML-Einstellungen gespeichert haben, hat der eingerichtete Benutzer weiterhin Zugriff auf das Unternehmen und bleibt bei GitHub angemeldet, ebenso wie die verwaltete Benutzerkonten, die von Ihrem IdP bereitgestellt werden und ebenfalls Zugriff auf das Unternehmen haben.

  13. Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

Aktivieren der Bereitstellung

Nach der SAML SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.

Aktivieren von Gast-Projektmitarbeiter*innen

Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.

Wenn Sie Entra ID oder Okta für die SAML-Authentifizierung verwenden, müssen Sie Ihre IdP-Anwendung möglicherweise aktualisieren, um Gast-Projektmitarbeiter zu verwenden. Weitere Informationen findest du unter Aktivieren von Gast-Projektmitarbeitern.