Informationen zur Authentifizierung für dein Unternehmen
Unternehmensbesitzer*innen mit GitHub Enterprise Cloud können die Anforderungen für die Authentifizierung für und den Zugriff auf die Ressourcen eines Unternehmens steuern.
Du kannst auswählen, dass Mitglieder Benutzerkonten erstellen und verwalten können, oder dein Unternehmen kann mit Enterprise Managed Users Konten für Mitglieder erstellen und verwalten. Wenn du es Mitgliedern ermöglichst, ihre eigenen Konten zu verwalten, kannst du auch die SAML-Authentifizierung konfigurieren, um die Sicherheit zu erhöhen sowie die Identität und den Zugriff auf die von deinem Team verwendeten Webanwendungen zu zentralisieren.
Weitere Informationen zu diesen Optionen, um zu ermitteln, welche Methode für dein Unternehmen am besten geeignet ist, findest du unter Identifizieren der besten Authentifizierungsmethode für dein Unternehmen.
Authentifizierungsmethoden für GitHub Enterprise Cloud
Für die Kontenverwaltung und -authentifizierung bei GitHub Enterprise Cloud sind die folgenden Optionen verfügbar.
Authentifizierung über GitHub.com
Standardmäßig muss jedes Mitglied ein persönliches Konto auf GitHub.com erstellen. Du erteilst Zugriff auf dein Unternehmen, und die Mitglieder können auf die Ressourcen des Unternehmens zugreifen, nachdem sie sich bei ihrem Konto auf GitHub.com angemeldet haben. Das Mitglied verwaltet das Konto und kann zu anderen Unternehmen, Organisationen und Repositorys auf GitHub.com beitragen.
Authentifizierung über GitHub.com mit zusätzlicher SAML-Zugriffsbeschränkung
Wenn du eine zusätzliche SAML-Zugriffsbeschränkung konfigurierst, muss jedes Mitglied ein persönliches Konto auf GitHub.com erstellen und verwalten. Du erteilst Zugriff auf dein Unternehmen, und das Mitglied kann auf die Ressourcen deines Unternehmens zugreifen, nachdem es sich bei seinem Konto auf GitHub.com angemeldet und sich erfolgreich bei deinem SAML-Identitätsanbieter (IdP) authentifiziert hat. Das Mitglied kann mit seinem persönlichen Konto zu anderen Unternehmen, Organisationen und Repositorys auf GitHub.com beitragen. Weitere Informationen zum Erzwingen der SAML-Authentifizierung für den gesamten Zugriff auf Ressourcen deines Unternehmens findest du unter Informationen zu SAML für Enterprise IAM.
Du kannst SAML entweder auf Unternehmensebene konfigurieren, wobei die gleiche SAML-Konfiguration auf alle Organisationen innerhalb des Unternehmens angewendet wird, oder SAML separat für einzelne Organisationen konfigurieren. Weitere Informationen findest du unter Entscheiden, ob SAML auf Unternehmens- oder Organisationsebene konfiguriert werden soll.
Authentifizierung mithilfe von Enterprise Managed Users und Verbund
Wenn du mehr Kontrolle über die Konten deiner Unternehmensmitglieder auf GitHub.com benötigst, kannst du Enterprise Managed Users verwenden. Mit Enterprise Managed Users stellst du Konten für deine Unternehmensmitglieder auf GitHub.com bereit und verwaltest sie mit deinem Identitätsanbieter. Jedes Mitglied meldet sich bei einem Konto an, das du erstellt hast, und dein Unternehmen verwaltet das Konto. Beiträge zum Rest von GitHub.com sind beschränkt. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.
Identifizieren der besten Authentifizierungsmethode für dein Unternehmen
Sowohl SAML SSO als auch Enterprise Managed Users erhöht die Sicherheit für die Ressourcen deines Unternehmens. Enterprise Managed Users ermöglicht dir darüber hinaus, die Benutzerkonten für deine Unternehmensmitglieder zu steuern und einzuschränken, was die Konten tun können. Diese Einschränkungen können jedoch für dein Unternehmen inakzeptabel sein, wenn sie die Workflows deiner Entwickler behindern.
Um festzustellen, ob dein Unternehmen mehr von SAML SSO oder Enterprise Managed Users profitieren würde, stelle dir die folgenden Fragen.
Möchtest du die Benutzerkonten für deine Benutzer steuern?
Enterprise Managed Users kann für dein Unternehmen geeignet sein, wenn du nicht möchtest, dass Unternehmensmitglieder ihre eigenen persönlichen Konten auf GitHub.com verwenden, um auf die Ressourcen deines Unternehmens zuzugreifen.
Mit SAML SSO erstellen und verwalten Entwickler ihre eigenen persönlichen Konten, und jedes Konto ist mit einer SAML-Identität in deinem IdP verknüpft. Enterprise Managed Users funktioniert eher wie andere vertraute SSO-Lösungen, da du die Konten für deine Benutzer bereitstellst. Du kannst auch sicherstellen, dass Benutzerkonten deiner Unternehmensidentität entsprechen, indem du Benutzernamen und E-Mail-Adressen steuerst, die mit den Konten verknüpft sind.
Wenn du derzeit verlangst, dass deine Nutzer ein neues Konto auf GitHub.com erstellen, das nur für dein Unternehmen verwendet werden darf, könnte Enterprise Managed Users für dich das Richtige sein. SAML SSO kann jedoch eine bessere Option sein, wenn die Verwendung deines IdP als Quelle der Wahrheit für deine Benutzer- und Zugriffsverwaltung zu viel Komplexität bedeuten würde. Beispielsweise verfügt dein Unternehmen möglicherweise nicht über einen etablierten Prozess zum Onboarding neuer Benutzer in deinem IdP.
Welchen Identitätsanbieter verwendet dein Unternehmen?
Enterprise Managed Users wird für eine begrenzte Anzahl von Identitätsanbietern unterstützt und erfordert SCIM, während SAML SSO volle Unterstützung für eine größere Anzahl von Identitätsanbietern sowie begrenzte Unterstützung für alle Identitätsanbieter bietet, die den Standard SAML 2.0 implementieren, und erfordert nicht SCIM. Die Liste der unterstützten Identitätsanbieter für jede Option findest du unter Informationen zu Enterprise Managed Users und Informationen zu SAML für Enterprise IAM.
Du kannst Enterprise Managed Users nur mit einem nicht unterstützten IdP verwenden, wenn du den nicht unterstützten IdP mit einem unterstützten IdP als Integrationspunkt verbindest. Wenn du diese zusätzliche Komplexität vermeiden möchtest, ist SAML SSO möglicherweise eine bessere Lösung für dich.
Arbeiten deine Entwickler in öffentlichen Repositorys, Gists oder GitHub Pages-Sites?
Um zu verhindern, dass Unternehmensmitglieder versehentlich unternehmenseigene Inhalte über GitHub.com an die Öffentlichkeit bringen, legt Enterprise Managed Users starke Einschränkungen für die Aktionen der Benutzer fest. verwaltete Benutzerkonten können z. B. keine öffentlichen Repositorys, Gists jeglicher Sichtbarkeit oder GitHub Pages-Websites erstellen, die außerhalb des Unternehmens sichtbar sind. Eine vollständige Liste der Einschränkungen findest du unter Informationen zu Enterprise Managed Users.
Diese Einschränkungen sind für einige Unternehmen inakzeptabel. Um zu ermitteln, ob Enterprise Managed Users für dich geeignet ist, überprüfe die Einschränkungen mit deinen Entwicklern, und bestätige, ob eine der Einschränkungen deine vorhandenen Workflows behindert. Wenn ja, ist SAML SSO möglicherweise eine bessere Wahl für dein Unternehmen.
Sind deine Entwickler von Zusammenarbeit außerhalb deines Unternehmens abhängig?
Verwaltete Benutzerkonten können nur zu Repositorys innerhalb deines Unternehmens beitragen. Wenn deine Entwickler sowohl zu Repositorys innerhalb als auch außerhalb deines Unternehmens beitragen müssen (private Repositorys eingeschlossen), ist Enterprise Managed Users vielleicht nicht das Richtige für dein Unternehmen. In diesem Fall könnte SAML-SSO eine bessere Lösung sein.
Einige Unternehmen unterhalten Repositorys innerhalb eines bestehenden Unternehmens unter Verwendung von SAML-SSO auf GitHub.com und erstellen außerdem ein Unternehmen mit verwalteten Benutzer*innen. Entwickler, die von einer einzigen Arbeitsstation aus zu Repositorys beider Unternehmen beitragen, müssen in einem einzigen Browser zwischen den Konten auf GitHub.com wechseln oder für jedes Konto einen anderen Browser verwenden. Möglicherweise muss der Entwickler auch die Git-Konfiguration des Arbeitsplatzes anpassen, um die beiden Konten zu unterstützen. Die Komplexität dieses Arbeitsablaufs kann das Risiko erhöhen, dass interner Code unbeabsichtigt an die Öffentlichkeit dringt.
Wenn du dich für ein Unternehmen mit verwalteten Benutzer*innen entscheidest, aber möchtest, dass Entwickler von einer einzigen Arbeitsstation aus zu Ressourcen außerhalb des Unternehmens beitragen, kannst du in der lokalen Git-Konfiguration eines Entwicklers Unterstützung für den Wechsel zwischen den Konten bereitstellen. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.
Ist dein Unternehmen von externen Mitarbeitern abhängig?
Mit SAML SSO kannst du Personen, die nicht Mitglied deines IdP-Verzeichnisses sind, mit der Rolle des externen Mitarbeiters Zugriff auf bestimmte Repositorys gewähren. Dies kann besonders nützlich für Mitarbeiter sein, die sich außerhalb deines Unternehmens befinden, z. B. Auftragnehmer. Weitere Informationen findest du unter Externe Mitarbeiter zu Organisations-Repositorys hinzufügen.
Bei Enterprise Managed Users ist die Rolle des externen Mitarbeiters nicht vorhanden. Auf die Ressourcen deines Unternehmens können nur verwaltete Benutzerkonten zugreifen, die immer durch deinen IdP bereitgestellt werden. Um externen Mitarbeitern Zugriff auf dein Unternehmen zu gewähren, musst du Gastkonten in deinem IdP verwenden. Wenn du an Enterprise Managed Users interessiert bist, kläre mit deinen Entwicklern, ob dies einen ihrer vorhandenen Workflows behindert. Falls ja, ist SAML SSO möglicherweise eine bessere Lösung.
Kann dein Unternehmen Migrationskosten tolerieren?
Wenn GitHub.com für dein Unternehmen neu ist, können SAML SSO und Enterprise Managed Users gleichermaßen einfach eingeführt werden.
Wenn du bereits GitHub.com verwendest, wobei Entwickler ihre eigenen Benutzerkonten verwalten, erfordert die Einführung von Enterprise Managed Users die Migration zu einem neuen Unternehmenskonto. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.
Obwohl Enterprise Managed Users kostenlos ist, erfordert der Migrationsprozess möglicherweise Zeit oder Kosten von deinem Team. Vergewissere dich, dass dieser Migrationsprozess für dein Unternehmen und deine Entwickler akzeptabel ist. Wenn nicht, ist SAML SSO möglicherweise die bessere Wahl für dich.
Entscheiden, ob SAML auf Unternehmens- oder Organisationsebene konfiguriert werden soll
Wenn du dich dazu entscheidest, SAML anstelle von Enterprise Managed Users zu verwenden, musst du entscheiden, ob SAML auf Unternehmens- oder Organisationsebene konfiguriert werden soll.
Wenn einige Gruppen innerhalb deines Unternehmens verschiedene SAML-Authentifizierungsanbieter verwenden müssen, um Zugriff auf deine Ressourcen auf GitHub.com zu gewähren, konfiguriere SAML für einzelne Organisationen. Du kannst SAML für deine Organisationen im Laufe der Zeit implementieren, indem du den Benutzern erlaubst, sich schrittweise mit SAML zu authentifizieren. Alternativ kannst du die SAML-Authentifizierung auch bis zu einem bestimmten Datum verlangen. Organisationsmitglieder, die sich bis zu diesem Datum nicht mit SAML authentifizieren, werden entfernt. Weitere Informationen zu SAML auf Organisationsebene findest du unter Informationen zur Identitäts- und Zugriffsverwaltung mit SAML-SSO.
Wenn du SAML auf Organisationsebene konfigurierst, müssen sich Mitglieder nicht über SAML authentifizieren, um auf interne Repositorys zuzugreifen. Weitere Informationen zu internen Repositorys findest du unter Informationen zu Repositorys.
Wenn du interne Repositorys schützen oder eine einheitliche Authentifizierung für jede Organisation in deinem Unternehmen erzwingen möchtest, kannst du stattdessen die SAML-Authentifizierung für dein Unternehmenskonto konfigurieren. Die SAML-Konfiguration für dein Unternehmen hat Vorrang vor der SAML-Konfiguration für einzelne Organisationen, und Organisationen können die Unternehmenskonfiguration nicht außer Kraft setzen. Nachdem du SAML für dein Unternehmen konfiguriert hast, müssen sich Organisationsmitglieder mit SAML authentifizieren, ehe sie auf Organisationsressourcen (darunter interne Repositorys) zugreifen können.
SCIM ist für Unternehmenskonten nicht verfügbar, und die Teamsynchronisierung ist nur für SAML auf Unternehmensebene verfügbar, wenn du Azure AD als IdP verwendest. Weitere Informationen findest du unter Verwalten der Teamsynchronisierung für Organisationen in deinem Unternehmen.
Unabhängig von der gewählten SAML-Implementierung kannst du keine externen Projektmitarbeiter zu Organisationen oder Teams hinzufügen. Du kannst externe Projektmitarbeiter nur zu einzelnen Repositorys hinzufügen.