Skip to main content

Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen

Sie können durch Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) mit SAML (Security Assertion Markup Language) den Zugriff auf Ihr Unternehmenskonto auf GitHub automatisch verwalten.

Wer kann dieses Feature verwenden?

Um Benutzer*innen im Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein. Dies ist in GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Informationen zu SAML SSO für Enterprise Managed Users

Bei Enterprise Managed Users muss der Zugriff auf Ihre Enterprise-Ressourcen auf GitHub.com über Ihren Identitätsanbieter (IdP) authentifiziert werden. Anstatt sich bei GitHub mit einem GitHub-Benutzernamen und -Kennwort anzumelden, erfolgt die Anmeldung von Unternehmensmitgliedern über Ihren IdP.

Nach der Konfiguration von SAML SSO wird empfohlen, die Wiederherstellungscodes zu speichern, damit Sie den Zugriff auf Ihr Unternehmen wiederherstellen können, falls Ihr IdP nicht verfügbar ist.

Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.

Voraussetzungen

  • Stellen Sie sicher, dass Sie die Integrationsanforderungen und den Grad der Unterstützung für Ihren IdP verstehen. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

  • Ihr IdP muss der SAML 2.0-Spezifikation entsprechen. Weitere Informationen finden Sie im SAML-Wiki auf der OASIS-Website.

  • Um Ihr IdP für SAML-SSO mit Enterprise Managed Users zu konfigurieren, müssen Sie über einen Mandanten und Administrator-Zugriff auf Ihren IdP verfügen.

  • Nachdem Sie die anfängliche Authentifizierung und Bereitstellung konfiguriert haben, empfiehlt GitHub keine Migration zu einer anderen Plattform für die Authentifizierung oder Bereitstellung. Wenn Sie ein vorhandenes Unternehmen zu einer anderen Plattform für die Authentifizierung oder Bereitstellung migrieren müssen, wenden Sie sich unter Vertriebsteam von GitHub an Ihren Kontomanager.

Konfigurieren von SAML SSO für Enterprise Managed Users

Um SAML SSO für Ihr Unternehmen mit verwalteten Benutzer*innen zu konfigurieren, müssen Sie eine Anwendung auf Ihrem IdP und dann Ihr Unternehmen auf GitHub.com konfigurieren. Nach der Konfiguration von SAML SSO können Sie die Benutzerbereitstellung konfigurieren.

  1. Konfigurieren Sie Ihren IdP
  2. Konfigurieren Sie Ihr Unternehmen
  3. Aktivieren der Bereitstellung

Konfigurieren Ihres IdP

  1. Wenn Sie einen Partner-IdP verwenden, klicken Sie auf einen der folgenden Links, um die Anwendung GitHub Enterprise Managed User zu installieren.

  2. Informationen zum Konfigurieren von SAML-SSO für Enterprise Managed Users in Ihrem IdP finden Sie in der folgenden Dokumentation. Wenn Sie keinen Partner-IdP verwenden, können Sie die SAML-Konfigurationsreferenz für GitHub Enterprise Cloud verwenden, um eine generische SAML 2.0-Anwendung auf Ihrem IdP zu erstellen und zu konfigurieren.

  3. Um Ihr Unternehmen zu testen und zu konfigurieren, weisen Sie sich selbst oder den Benutzer, der SAML SSO für Ihr Unternehmen konfigurieren wird, auf GitHub.com der Anwendung zu, die Sie für Enterprise Managed Users auf Ihrem IdP konfiguriert haben.

  4. Um die Konfiguration Ihres Unternehmens auf GitHub.com fortzusetzen, suchen Sie die folgenden Informationen in der Anwendung, die Sie auf Ihrem IdP installiert haben, und notieren Sie sie.

    WertAndere NamenBESCHREIBUNG
    Anmelde-URL des IdPAnmelde-URL, IdP-URLAnwendungs-URL bei deinem IdP
    Bezeichner-URL des IdPIssuer (Aussteller)Bezeichner des IdP für Dienstanbieter für die SAML-Authentifizierung
    Signaturzertifikat, Base64-codiertÖffentliches ZertifikatÖffentliches Zertifikat, das der IdP zum Signieren von Authentifizierungsanforderungen verwendet

Konfigurieren Ihres Unternehmens

Nachdem Sie SAML SSO für Enterprise Managed Users auf Ihrem IdP konfiguriert haben, können Sie Ihr Unternehmen auf GitHub.com konfigurieren.

Nach der anfänglichen Konfiguration von SAML SSO ist die einzige Einstellung, die Sie auf GitHub.com für Ihre bestehende SAML-Konfiguration aktualisieren können, das SAML-Zertifikat. Wenn Sie die Anmelde-URL oder die Aussteller-URL aktualisieren müssen, müssen Sie zuerst SAML SSO deaktivieren und dann SAML SSO mit den neuen Einstellungen erneut konfigurieren. Weitere Informationen findest du unter Disabling authentication for Enterprise Managed Users.

  1. Melde dich auf GitHub.com als Setupbenutzer*in für dein Unternehmen mit dem Benutzernamen @SHORT-CODE_admin an. Ersetze SHORT-CODE dabei durch den Kurzcode deines Unternehmens.

    Hinweis: Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Supportportal an den GitHub-Support.

  2. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  4. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  5. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  6. Wählen Sie unter „SAML Single Sign-On“ die Option SAML-Authentifizierung erzwingen aus.

  7. Geben Sie unter Anmelde-URL den HTTPS-Endpunkt Ihres IdP für SSO-Anfragen ein, den Sie bei der Konfiguration Ihres IdP notiert haben.

  8. Geben Sie unter Aussteller die SAML-Aussteller-URL ein, die Sie bei der Konfiguration des IdP notiert haben, um die Authentizität gesendeter Nachrichten zu überprüfen.

  9. Füge unter Öffentliches Zertifikat das Zertifikat ein, das du dir bei der Konfiguration des IdP notiert hast, um SAML-Antworten zu überprüfen.

  10. Klicke unter deinem öffentlichen Zertifikat rechts neben den aktuellen Signatur- und Digestmethoden auf .

    Screenshot der aktuellen Signaturmethode und Digestmethode in den SAML-Einstellungen. Das Stiftsymbol ist mit einem orangefarbenen Umriss hervorgehoben.

  11. Wähle dann in den Dropdownmenüs Signaturmethode und Digestmethode den Hashalgorithmus aus, den dein SAML-Aussteller verwendet.

  12. Klicke auf SAML-Konfiguration testen, bevor du SAML SSO für dein Unternehmen aktivierst, um dich zu vergewissern, dass die eingegebenen Informationen korrekt sind. Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.

  13. Klicke auf Speichern.

    Hinweis: Nachdem Sie SAML SSO für Ihr Unternehmen aktiviert haben, hat der eingerichtete Benutzer keinen Zugriff mehr auf das Unternehmen, ist aber weiterhin bei GitHub angemeldet. Nur verwaltete Benutzerkonten, die von Ihrem Identitätsanbieter bereitgestellt wurden, haben Zugriff auf das Unternehmen.

  14. Um sicherzustellen, dass Sie weiterhin unter GitHub.com auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter „Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto“.

Aktivieren der Bereitstellung

Nach der SAML SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für Enterprise Managed Users.

Aktivieren von Gast-Projektmitarbeitern

Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.

Wenn Sie Entra ID oder Okta für die SAML-Authentifizierung verwenden, müssen Sie Ihre IdP-Anwendung möglicherweise aktualisieren, um Gast-Projektmitarbeiter zu verwenden. Weitere Informationen findest du unter Aktivieren von Gast-Projektmitarbeitern.