Bevor Sie die Schritte in diesem Artikel ausführen, müssen Sie sicherstellen, dass in Ihrem Unternehmen verwaltete Benutzer*innen verwendet werden. Überprüfen Sie dazu, ob die Unternehmensansicht im oberen Bildschirmbereich die Kopfleiste „Von KONTONAME verwaltete Benutzerinnen“ enthält. Wenn ja, werden in Ihrem Unternehmen **verwaltete Benutzerinnen** verwendet, und Sie können die Schritte in diesem Artikel ausführen.
Werden in Ihrem Unternehmen persönliche Konten verwendet, müssen Sie einem anderen Prozess zum Konfigurieren von SAML-Single Sign-on folgen. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.
Informationen zu SAML SSO für Enterprise Managed Users
Mit Enterprise Managed Users muss der Zugriff auf die Ressourcen deines Unternehmens auf GitHub.com oder GHE.com über deinen Identitätsanbieter (IdP) authentifiziert werden. Mitglieder deines Unternehmens melden sich statt mit einem GitHub-Benutzernamen über deinen Identitätsanbieter an.
Nach der Konfiguration von SAML SSO wird empfohlen, die Wiederherstellungscodes zu speichern, damit Sie den Zugriff auf Ihr Unternehmen wiederherstellen können, falls Ihr IdP nicht verfügbar ist.
Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.
Voraussetzungen
-
Befassen Sie sich mit den Integrationsanforderungen und dem Grad der Unterstützung für Ihren Identitätsanbieter.
- GitHub bietet eine „paved-path“-Integration und volle Unterstützung, wenn Sie einen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.
- Alternativ können Sie ein beliebiges System oder jede Kombination von Systemen verwenden, die SAML 2.0 und SCIM 2.0 entsprechen. Die Unterstützung für die Lösung von Problemen mit diesen Systemen kann jedoch eingeschränkt sein.
Ausführlichere Informationen findest du unter Informationen zu Enterprise Managed Users.
-
Ihr IdP muss der SAML 2.0-Spezifikation entsprechen. Siehe das SAML-Wiki auf der OASIS-Website.
-
Sie müssen über Zugriff als Mandantenadministrator auf den Identitätsanbieter verfügen.
-
Wenn Sie SAML-SSO für ein neues Unternehmen konfigurieren, müssen Sie alle vorherigen Schritte bei der Erstkonfiguration ausführen. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.
Konfigurieren von SAML-SSO für Enterprise Managed Users
Um SAML SSO für Ihr Unternehmen mit verwalteten Benutzer*innen zu konfigurieren, müssen Sie eine Anwendung auf Ihrem IdP und dann Ihr Unternehmen auf GitHub konfigurieren. Nach der Konfiguration von SAML SSO können Sie die Benutzerbereitstellung konfigurieren.
Konfigurieren Sie Ihren IdP
-
Klicke auf den Link für deinen Identitätsanbieter und deine Umgebung, um die GitHub Enterprise Managed User zu installieren, wenn du einen Partner-IdP verwendest.
Identitätsanbieter App für GitHub.com App für GHE.com Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User Okta GitHub Enterprise Managed User GitHub Enterprise Managed User – ghe.com PingFederate PingFederate-Downloadwebsite Navigiere zur Registerkarte Add-ons, und wähle dann GitHub EMU Connector 1.0 aus. PingFederate-Downloadwebsite Navigiere zur Registerkarte Add-ons, und wähle dann GitHub EMU Connector 1.0 aus. -
Lies die relevante Dokumentation zu deinem Identitätsanbieter und deiner Umgebung, um SAML-SSO für Enterprise Managed Users auf einem Partner-IdP zu konfigurieren.
Identitätsanbieter Dokumentation für GitHub.com Dokumentation für GHE.com Microsoft Entra ID Microsoft Learn Microsoft Learn Okta Konfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innen Konfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innen PingFederate Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate (Abschnitte „Voraussetzungen“ und „1. Konfigurieren von SAML“) Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate (Abschnitte „Voraussetzungen“ und „1. Konfigurieren von SAML“) Wenn du keinen Partner-IdP verwendest, kannst du alternativ die Referenz zur SAML-Konfiguration für GitHub Enterprise Cloud nutzen, um eine generische SAML 2.0-Anwendung auf deinem Identitätsanbieter zu erstellen und zu konfigurieren. Weitere Informationen findest du unter Referenz zur SAML-Konfiguration.
-
Um Ihr Unternehmen zu testen und zu konfigurieren, weisen Sie sich selbst oder den Benutzer, der SAML SSO für Ihr Unternehmen konfigurieren wird, auf GitHub der Anwendung zu, die Sie für Enterprise Managed Users auf Ihrem IdP konfiguriert haben.
Note
Um nach der Konfiguration eine erfolgreiche Authentifizierungsverbindung zu testen, muss dem IdP mindestens ein Benutzer zugewiesen werden.
-
Um die Konfiguration Ihres Unternehmens auf GitHub fortzusetzen, suchen Sie die folgenden Informationen in der Anwendung, die Sie auf Ihrem IdP installiert haben, und notieren Sie sie.
Wert Andere Namen BESCHREIBUNG Anmelde-URL des IdP Anmelde-URL, IdP-URL Anwendungs-URL bei deinem IdP Bezeichner-URL des IdP Issuer (Aussteller) Bezeichner des IdP für Dienstanbieter für die SAML-Authentifizierung Signaturzertifikat, Base64-codiert Öffentliches Zertifikat Öffentliches Zertifikat, das der IdP zum Signieren von Authentifizierungsanforderungen verwendet
Konfigurieren Sie Ihr Unternehmen
Nachdem Sie SAML SSO für Enterprise Managed Users auf Ihrem IdP konfiguriert haben, können Sie Ihr Unternehmen auf GitHub konfigurieren.
Nach der anfänglichen Konfiguration von SAML SSO ist die einzige Einstellung, die Sie auf GitHub für Ihre bestehende SAML-Konfiguration aktualisieren können, das SAML-Zertifikat. Wenn Sie die Anmelde-URL oder die Aussteller-URL aktualisieren müssen, müssen Sie zuerst SAML SSO deaktivieren und dann SAML SSO mit den neuen Einstellungen erneut konfigurieren. Weitere Informationen finden Sie unter Deaktivieren der Authentifizierung und Bereitstellung für Enterprise Managed Users.
-
Melde dich als Setupbenutzer für dein Unternehmen mit dem Benutzernamen SHORT-CODE_admin an, und ersetze SHORT-CODE durch den Kurzcode deines Unternehmens.
Note
Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Supportportal an den GitHub-Support. Die übliche Option für die Kennwortzurücksetzung (E-Mail-Adresse angeben) funktioniert nicht.
-
Wenn du einen IdP für keine Partner verwendest (ein anderer IdP als Okta, PingFederate oder Entra-ID), musst du vor der SAML-Aktivierung eine Einstellung aktualisieren, damit du SCIM mithilfe der REST-API einrichten kannst. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.
-
Klicke in der oberen rechten Ecke von GitHub auf dein Profilfoto und dann auf Dein Unternehmen.
-
Klicke links auf der Seite in der Enterprise-Konto Randleiste auf Identity provider.
-
Klicke unter Identity Provider auf Single sign-on configuration.
-
Wähle unter „SAML Single Sign-on“ Add SAML configuration aus.
-
Geben Sie unter Anmelde-URL den HTTPS-Endpunkt Ihres IdP für SSO-Anfragen ein, den Sie bei der Konfiguration Ihres IdP notiert haben.
-
Geben Sie unter Aussteller die SAML-Aussteller-URL ein, die Sie bei der Konfiguration des IdP notiert haben, um die Authentizität gesendeter Nachrichten zu überprüfen.
-
Füge unter Öffentliches Zertifikat das Zertifikat ein, das du dir bei der Konfiguration des IdP notiert hast, um SAML-Antworten zu überprüfen.
-
Wähle dann unter Public Certificate die Dropdownmenüs Signature Method und Digest Method aus, und klicke auf den von deinem SAML-Austeller verwendeten Hashalgorithmus.
-
Klicke auf SAML-Konfiguration testen, bevor du SAML SSO für dein Unternehmen aktivierst, um dich zu vergewissern, dass die eingegebenen Informationen korrekt sind. Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.
-
Klicken Sie auf Save SAML settings (SAML-Einstellungen speichern).
Note
Nachdem du SAML SSO für dein Unternehmen aktiviert und die SAML-Einstellungen gespeichert hast, hat der eingerichtete Benutzer weiterhin Zugriff auf das Unternehmen und bleibt bei GitHub angemeldet, ebenso wie die verwaltete Benutzerkonten, die von deinem IdP bereitgestellt werden und ebenfalls Zugriff auf das Unternehmen haben.
-
Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
Aktivieren der Bereitstellung
Nach der SAML SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen finden Sie unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.
Aktivieren von Gast-Projektmitarbeiter*innen
Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.
Wenn Sie Entra ID oder Okta für die SAML-Authentifizierung verwenden, müssen Sie Ihre IdP-Anwendung möglicherweise aktualisieren, um Gast-Projektmitarbeiter zu verwenden. Weitere Informationen finden Sie unter Aktivieren von Gast-Projektmitarbeitern.