Skip to main content

Migrieren von SAML zu OIDC

Wenn du SAML zum Authentifizieren von Mitgliedern in deinem Unternehmen mit verwalteten Benutzer*innen verwendest, kannst du zu OpenID Connect (OIDC) migrieren und von der Unterstützung der Richtlinie für bedingten Zugriff deines Identitätsanbieters profitieren.

Wer kann dieses Feature verwenden?

Enterprise Managed Users ist für neue Unternehmenskonten auf GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Note

Die Unterstützung von OpenID Connect (OIDC) und der Richtlinie für bedingten Zugriff für Enterprise Managed Users ist nur in Microsoft Entra ID (früher Azure AD) verfügbar.

Informationen zum Migrieren eines Unternehmen mit verwalteten Benutzer*innen von SAML zu OIDC

Wenn Ihr Unternehmen mit verwalteten Benutzer*innen SAML-SSO zum Authentifizieren bei Entra ID verwenden, können Sie zu OIDC migrieren. Wenn dein Unternehmen OIDC SSO verwendet, nutzt GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (conditional access policy, CAP) deines Identitätsanbieters, um Interaktionen mit GitHub zu überprüfen, wenn Mitglieder die Web-UI verwenden oder die IP-Adressen ändern. Für jede Authentifizierung wird jedem Benutzerkonto ein personal access token oder ein SSH-Schlüssel zugeordnet.

Note

Der CAP-Schutz für Websitzungen befindet sich derzeit in der public preview und kann noch geändert werden.

Wenn die IDP-CAP-Unterstützung für dein Unternehmen bereits aktiviert ist, kannst du den erweiterten Schutz für Websitzungen über die Einstellungen „Authentication security“ deines Unternehmens aktivieren. Um dieses Feature zu aktivieren, muss dein Unternehmen über 1.000 oder weniger Mitglieder verfügen, aktiv oder gesperrt. Wenn der Schutz von Websitzungen aktiviert ist und die IP-Bedingungen eines Benutzers nicht erfüllt sind, können sie alle Ressourcen im Besitz des Benutzers anzeigen und filtern. Die Details der Ergebnisse für Benachrichtigungen, Suchvorgänge, persönliche Dashboards oder mit Stern versehene Repositorys können sie jedoch nicht anzeigen.

Bei der Migration von SAML zu OIDC wird dem Anzeigenamen von verwaltete Benutzerkonten und Gruppen, die zuvor für SAML bereitgestellt wurden, aber nicht von der GitHub Enterprise Managed User (OIDC)-Anwendung bereitgestellt werden, der Zusatz „(SAML)“ angehängt.

Wenn Enterprise Managed Users neu für dich ist und du noch keine Authentifizierung für dein Unternehmen konfiguriert hast, musst du nicht migrieren und kannst sofort OIDC Single Sign-On einrichten. Weitere Informationen finden Sie unter Konfigurieren von OIDC für Enterprise Managed Users.

Warning

Wenn Sie zu einem neuen IdP oder Mandanten migrieren, werden Verbindungen zwischen GitHub-Teams und IdP-Gruppen entfernt und nach der Migration nicht erneut aktualisiert. Dadurch werden alle Mitglieder aus dem Team entfernt und das Team nicht mit Ihrem IdP verbunden, was zu Unterbrechungen führen kann, wenn Sie die Teamsynchronisierung verwenden, um den Zugriff auf Organisationen oder Lizenzen von Ihrem IdP zu verwalten. Es wird empfohlen, die Endpunkte „Externe Gruppen“ der REST-API zu verwenden, um Informationen zu Ihrem Teams-Setup zu sammeln, bevor Sie migrieren und anschließend Verbindungen reaktivieren. Weitere Informationen finden Sie unter REST-API-Endpunkte für externe Gruppen.

Voraussetzungen

  • Ihr Unternehmen auf GitHub muss derzeit so konfiguriert sein, dass SAML für die Authentifizierung verwendet wird, wobei Entra ID Ihr Identitätsanbieter (IdP) ist. Weitere Informationen finden Sie unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.

  • Sie müssen sowohl auf Ihr Unternehmen auf GitHub als auch auf Ihren Mandanten in Entra ID zugreifen.

    • Zum Konfigurieren der GitHub Enterprise Managed User (OIDC) Anwendung in Entra ID müssen Sie sich beim Entra ID-Mandanten als Benutzer*in mit globaler Administratorrolle anmelden.
    • Um sich als Setupbenutzer für Ihr Unternehmen auf GitHub anzumelden, müssen Sie einen Wiederherstellungscode für das Unternehmen verwenden. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
  • Planen die Migration für einen Zeitraum, in dem die Ressourcen deines Unternehmens nicht aktiv genutzt werden. Während der Migration können Benutzerinnen erst auf dein Unternehmen zugreifen, wenn du die neue Anwendung und die Benutzerinnen als erneut bereitgestellt konfiguriert hast.

Migrieren deines Unternehmens

Um Ihr Unternehmen von SAML zu OIDC zu migrieren, deaktivieren Sie Ihr vorhandene GitHub Enterprise Managed User-Anwendung in Entra ID, bereiten Sie die Migration als Setupbenutzerin für Ihr Unternehmen auf GitHub vor, starten Sie sie, und konfigurieren Sie dann die neue Anwendung für OIDC in Azure AD. Nachdem die Migration abgeschlossen ist und Entra ID Ihr Benutzerinnen bereitgestellt hat, können sich die Benutzer*innen authentifizieren, um mithilfe von OIDC auf die Ressourcen Ihres Unternehmens auf GitHub zuzugreifen.

Warning

Die Migration deines Unternehmens von SAML zu OIDC kann bis zu einer Stunde dauern. Während der Migration können Benutzer*innen nicht auf dein Unternehmen auf GitHub zugreifen.

  1. Bevor du mit der Migration beginnst, melde dich bei Azure an, und deaktiviere die Bereitstellung in der vorhandenen Anwendung GitHub Enterprise Managed User.

  2. Wenn Sie in Entra ID Richtlinien für den bedingten Zugriff mit einer Netzwerkstandortbedingung verwenden und Sie derzeit eine IP-Zulassungsliste mit Ihrem Unternehmenskonto oder einer der Organisationen verwenden, die zum Unternehmenskonto gehören, deaktivieren Sie die IP-Zulassungslisten. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen und Verwaltung erlaubter IP-Adressen für deine Organisation.

  3. Melde dich als Setupbenutzer für dein Unternehmen mit dem Benutzernamen SHORT-CODE_admin an, und ersetze SHORT-CODE durch den Kurzcode deines Unternehmens.

  4. Klicke in der oberen rechten Ecke von GitHub auf dein Profilfoto und dann auf Dein Unternehmen.

  5. Wenn du aufgefordert wirst, mit deinem Identitätsanbieter fortzufahren, klicke auf Wiederherstellungscode verwenden, und melde dich mit einem der Wiederherstellungscodes deines Unternehmens an.

    Note

    Du musst einen Wiederherstellungscode für dein Unternehmen und nicht für dein Benutzerkonto verwenden. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

  6. Klicke links auf der Seite in der Enterprise-Konto Randleiste auf Identity provider.

  7. Klicke unter Identity Provider auf Single sign-on configuration.

  8. Klicke unten auf der Seite auf Migrate to OpenID Connect single sign-on.

  9. Lies die Warnung, und klicke dann auf Migrate to OIDC.

  10. Klicke auf Begin OIDC migration.

  11. Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Entra ID die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivieren Sie Zustimmung im Namen Ihrer Organisation und klicken SIe dann auf Annehmen.

    Warning

    Du musst dich bei Entra ID als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.

  12. Nachdem du die Zustimmung erteilt hast, wird ein neues Browserfenster mitGitHub geöffnet, in dem einige neue Wiederherstellungscodes für dein Unternehmen mit verwalteten Benutzer*innen angezeigt werden. Laden Sie die Codes herunter, und klicken Sie dann auf OIDC-Authentifizierung aktivieren.

  13. Warte, bis die Migration abgeschlossen ist, was bis zu einer Stunde dauern kann. Um den Status der Migration zu überprüfen, navigiere zur Seite Authentifizierungssicherheitseinstellungen deines Unternehmens. Wenn „SAML-Authentifizierung erforderlich“ ausgewählt ist, ist die Migration noch im Gange.

    Warning

    Warnung: Stelle während der Migration keine neuen Benutzer aus der Anwendung in Entra ID bereit.

  14. Während Sie als Setupbenutzer*in angemeldet sind, erstellen Sie in einer neuen Registerkarte oder einem neuen Fenster ein personal access token (classic) mit dem Bereich scim:enterprise und ohne Ablaufdatum, und kopieren Sie es in die Zwischenablage. Weitere Informationen zum Erstellen eines neuen Tokens findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.

  15. Gib die Mandanten-URL für dein Unternehmen in den Bereitstellungseinstellungen der Anwendung GitHub Enterprise Managed User (OIDC) im Microsoft Entra Admin Center unter „Tenant URL“ ein:

    • Auf GitHub.com: https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE – ersetze „YOUR_ENTERPRISE“ mit dem Namen deines Enterprise-Kontos. Wenn die URL deines Unternehmenskontos beispielsweise https://github.com/enterprises/octo-corp lautet, lautet der Name des Unternehmenskontos octo-corp.
    • Auf GHE.com: https://api.SUBDOMAIN.ghe.com/scim/v2/enterprises/SUBDOMAIN – bei „SUBDOMAIN“ handelt es sich um die Unterdomäne deines Unternehmens auf GHE.com.
  16. Füge unter „Geheimnistoken“ das personal access token (classic) mit dem Umfang scim:enterprise ein, das du zuvor erstellt hast.

  17. Klicke zum Testen der Konfiguration auf Verbindung testen.

  18. Um deine Änderungen zu speichern, klicke oben im Formular auf Speichern.

  19. Kopieren Sie im Microsoft Entra Admin Center die Benutzer und Gruppen aus der alten GitHub Enterprise Managed User-Anwendung in die neue GitHub Enterprise Managed User (OIDC)-Anwendung.

  20. Teste deine Konfiguration, indem du einen einzelnen neuen Benutzer bereitstellst.

  21. Wenn dein Test erfolgreich ist, starte die Bereitstellung für alle Benutzer durch Klicken auf Bereitstellung starten.