Informationen zum einmaligen Anmelden mit SAML bei Unternehmenskonten
Einmaliges Anmelden (SSO) von SAML bietet Organisations- und Unternehmensinhabern unter Verwendung von GitHub Enterprise Cloud die Möglichkeit, den Zugriff auf Organisationsressourcen wie Repositorys, Issues oder Pull Requests zu kontrollieren und zu sichern. Enterprise-Inhaber können SAML SSO und zentralisierte Authentifizierung über einen SAML IdP in allen Organisationen eines Enterprise-Kontos ermöglichen. Nachdem du SAML SSO für dein Unternehmenskonto aktiviert hast, wird SAML SSO für alle Organisationen erzwungen, die zu deinem Unternehmenskonto gehören. Alle Mitglieder müssen sich über SAML SSO authentifizieren, um auf die Organisationen zuzugreifen, bei denen sie Mitglied sind. Enterprise-Inhaber müssen sich über SAML SSO authentifizieren, wenn sie auf ein Enterprise-Konto zugreifen.
Beim Aktivieren von SAML-SSO für Ihr Unternehmenskonto sind besondere Aspekte zu beachten, wenn eine der Organisationen im Besitz des Unternehmenskontos bereits für die Verwendung von SAML-SSO konfiguriert ist.
Wenn du SAML-SSO auf Organisationsebene konfigurierst, muss jede Organisation mit einem eindeutigen SSO-Mandanten bei deinem IdP konfiguriert sein. Dies bedeutet, dass deine Mitglieder für jede Organisation, bei der sie sich erfolgreich authentifiziert haben, einem eindeutigen SAML-Identitätsdatensatz zugeordnet werden. Wenn du SAML-SSO stattdessen für dein Unternehmenskonto konfigurierst, verfügt jedes Unternehmensmitglied nur über eine SAML-Identität, die für alle Organisationen verwendet wird, die sich im Besitz des Unternehmenskontos befinden.
Nachdem du SAML-SSO für dein Unternehmenskonto konfiguriert hast, überschreibt die neue Konfiguration die vorhandenen SAML-SSO-Konfigurationen für Organisationen im Besitz des Unternehmenskontos. Alle von Ihnen konfigurierten Teamsynchronisierungseinstellungen werden ebenfalls aus diesen Organisationen entfernt.
-
Ihre Organisationsmitglieder werden nach dem Entfernen der Teamsynchronisierungseinstellungen der Organisation aus GitHub-Teams entfernt.
-
Wenn Sie beabsichtigen, die Teamsynchronisierung erneut zu aktivieren, bevor Sie SAML SSO für Ihr Unternehmen aktivieren, notieren Sie sich die aktuelle Teamsynchronisierungskonfiguration in den betroffenen Organisationen. Weitere Informationen finden Sie unter „Verwalten der Teamsynchronisierung für deine Organisation“.
Sie müssen Ihre Organisationsmitglieder nach der erneuten Aktivierung der Teamsynchronisierung erneut zu GitHub-Teams hinzufügen.
-
Planen Sie Änderungen der Teamsynchronisierungseinstellungen Ihrer Organisation für eine Zeit, in der Personen die Ressourcen Ihrer Organisation nicht aktiv verwenden. Änderungen an der Teamsynchronisierung können zu Ausfallzeiten für Ihre Mitglieder führen.
Unternehmensmitglieder werden nicht benachrichtigt, wenn eine Unternehmensbesitzerin SAML für das Unternehmenskonto aktiviert. Wenn SAML-SSO zuvor auf Organisationsebene erzwungen wurde, sollte für Mitglieder bei der direkten Navigation zu Organisationsressourcen kein großer Unterschied bemerkbar sein. Die Mitglieder müssen sich weiterhin über SAML authentifizieren. Wenn Mitglieder über das IdP-Dashboard zu den Ressourcen der Organisation navigieren, müssen sie auf die neue Kachel der App auf Unternehmensebene und nicht auf die alte Kachel der App auf Organisationsebene klicken. Die Mitglieder können dann die Organisation auswählen, zu der sie navigieren möchten.
Alle personal access token, SSH-Schlüssel, OAuth apps und GitHub Apps, die zuvor für die Organisation autorisiert waren, sind weiterhin für diese autorisiert. Die Mitglieder müssen jedoch alle PATs, SSH-Schlüssel, OAuth apps und GitHub Apps autorisieren, die nie für die Verwendung mit SAML-SSO für die Organisation autorisiert wurden.
Die Bereitstellung mit SCIM wird derzeit nicht unterstützt, wenn SAML-SSO für ein Unternehmenskonto konfiguriert ist. Wenn du SCIM derzeit für eine Organisation verwendest, die sich im Besitz deines Unternehmenskontos befindet, kannst du diese Funktionalität nicht mehr verwenden, wenn du zu einer Konfiguration auf Unternehmensebene wechselst.
Du musst keine SAML-Konfigurationen auf Organisationsebene entfernen, bevor du SAML-SSO für dein Unternehmenskonto konfigurierst. Dies wird jedoch empfohlen. Wenn SAML in Zukunft für das Unternehmenskonto deaktiviert wird, werden alle verbleibenden SAML-Konfigurationen auf Organisationsebene wirksam. Durch das Entfernen der Konfigurationen auf Organisationsebene können unvorhergesehene Probleme vermieden werden.
Weitere Informationen zur Entscheidung für die Implementierung von SAML SSO auf Organisations- oder Unternehmensebene findest du unter Informationen zur Identitäts- und Zugriffsverwaltung.
Wechseln deiner SAML-Konfiguration von einer Organisation zu einem Unternehmenskonto
- Erzwinge SAML-SSO für dein Unternehmenskonto, und stelle sicher, dass alle Organisationsmitglieder der IdP-App, die für das Unternehmenskonto verwendet wird, zugewiesen sind oder Zugriff darauf haben. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.
- Wenn du SAML-Konfigurationen auf Organisationsebene beibehalten hast, solltest du die Kachel der Apps auf Organisationsebene in deinem IdP ausblenden, um Missverständnisse zu vermeiden.
- Benachrichtige deine Unternehmensmitglieder über die Änderung.
- Mitglieder können nicht mehr auf ihre Organisationen zugreifen, indem sie auf die SAML-App der Organisation im IdP-Dashboard klicken. Du musst die neue App verwenden, die für das Unternehmenskonto konfiguriert ist.
- Mitglieder müssen alle PATs oder SSH-Schlüssel autorisieren, die zuvor nicht für die Verwendung von SAML-SSO für ihre Organisation autorisiert wurden. Weitere Informationen findest du unter Ein persönliches Zugriffstoken für die Verwendung mit SAML Single Sign-On autorisieren und unter Einen SSH-Schlüssel für die Verwendung mit SAML Single Sign-On autorisieren.
- Mitglieder müssen möglicherweise OAuth apps erneut autorisieren, die bereits für die Organisation autorisiert wurden. Weitere Informationen findest du unter Informationen zur Authentifizierung mit SAML Single Sign-On.