Informationen zu SAML für Enterprise IAM

Sie können SAML Single Sign-On (SSO) verwenden, um den Zugriff zu Ihre GitHub Enterprise Server-Instance zu verwalten.

In diesem Artikel

Informationen zum SAML SSO für dein Unternehmen

Mithilfe von SAML-SSO können sich Personen über ein externes System für die Identitätsverwaltung in Ihre GitHub Enterprise Server-Instance authentifizieren und darauf zugreifen.

SAML ist ein XML-basierter Standard für die Authentifizierung und Autorisierung. Wenn du SAML für Ihre GitHub Enterprise Server-Instance konfigurierst, wird das externe System für die Authentifizierung als Identitätsanbieter (Identity Provider, IdP) bezeichnet. Deine Instanz fungiert als SAML-Dienstanbieter (Service Provider, SP). Weitere Informationen zum SAML-Standard findest du auf Wikipedia unter Security Assertion Markup Language.

Note

Du kannst entweder SAML oder LDAP verwenden.

Bei Verwendung von SAML oder CAS wird die Zwei-Faktor-Authentifizierung in der GitHub Enterprise Server-Instanz weder unterstützt noch verwaltet, jedoch möglicherweise vom externen Authentifizierungsanbieter unterstützt. Die Erzwingung der Zwei-Faktor-Authentifizierung für Organisationen ist nicht verfügbar. Weitere Informationen zum Erzwingen der Zwei-Faktor-Authentifizierung für Organisationen findest du unter Erfordern der zweistufigen Authentifizierung in deiner Organisation.

Nachdem du SAML konfiguriert hast, müssen Personen, die Ihre GitHub Enterprise Server-Instance nutzen, ein personal access token für die Authentifizierung von API-Anforderungen verwenden. Weitere Informationen finden Sie unter Verwalten deiner persönlichen Zugriffstoken.

Wenn du die Authentifizierung für einige Personen zulassen möchtest, die kein Konto bei deinem externen Authentifizierungsanbieter haben, kannst du die Fallbackauthentifizierung für lokale Konten auf Ihre GitHub Enterprise Server-Instance zulassen. Weitere Informationen finden Sie unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.

Weitere Informationen zum Konfigurieren des einmaligen Anmeldens mit SAML in GitHub findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

Informationen zum Erstellen von Benutzerkonten

Standardmäßig kommuniziert dein Identitätsanbieter nicht automatisch mit GitHub, wenn du die Anwendung zuweist oder die Zuweisung aufhebst. GitHub erstellt ein Benutzerkonto unter Verwendung der SAML-JIT-Bereitstellung (Just-In-Time), wenn jemand erstmals zu deine GitHub Enterprise Server-Instanz navigiert und sich bei der Anmeldung über deinen Identitätsanbieter authentifiziert. Unter Umständen musst du Benutzende manuell benachrichtigen, wenn du ihnen Zugriff auf GitHub gewährst. Ebenso musst du beim Offboarding in GitHub manuell das Benutzerkonto deaktivieren.

Anstelle der SAML-JIT-Bereitstellung kannst du SCIM auch zum Erstellen oder Sperren von Benutzerkonten und zum Gewähren und Verweigern des Zugriffs auf Ihre GitHub Enterprise Server-Instance (automatisch) verwenden, nachdem du die Anwendung bei deinem Identitätsanbieter zugewiesen oder die Zuweisung aufgehoben hast. SCIM für GitHub Enterprise Server befindet sich derzeit in der öffentlichen beta. Änderungen sind vorbehalten. Weitere Informationen findest du unter Informationen zu Benutzerbereitstellung mit SCIM auf GitHub Enterprise Server.

Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für Ihre GitHub Enterprise Server-Instance manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen finden Sie unter Benutzer sperren und entsperren.

Unterstützte IdPs

GitHub unterstützt die SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.

Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:

  • Microsoft Active Directory-Verbunddienste (AD FS)
  • Microsoft Entra ID (früher Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Wenn dein Identitätsanbieter verschlüsselte Assertionen unterstützt, kannst du verschlüsselte Assertionen in GitHub Enterprise Server konfigurieren und so während des Authentifizierungsprozesses erhöhte Sicherheit gewährleisten.

GitHub unterstützt kein einmaliges Abmelden per SAML. Um eine aktive SAML-Sitzung zu beenden, sollte sich der Benutzer direkt auf Deiner SAML-IdP abmelden.

Weiterführende Themen