Migrieren von OIDC zu SAML

Wenn du OpenID Connect (OIDC) verwendest, um Mitglieder in deinem Unternehmen mit verwalteten Benutzer*innen zu authentifizieren, kannst du zu SAML SSO migrieren.

Wer kann dieses Feature verwenden?

Um Benutzer*innen im Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein. Dies ist in GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

In diesem Artikel

Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Microsoft Entra ID (früher bekannt als Azure AD) erhältlich.

Informationen zum Migrieren eines Unternehmen mit verwalteten Benutzer*innen von OIDC zu SAML

Um von OIDC zu SAML zu migrieren, deaktiviere zunächst OIDC. Dadurch werden alle verwaltete Benutzerkonten angehalten, alle von SCIM bereitgestellten externen Gruppen entfernt und verknüpfte Identitäten gelöscht.

Anschließend konfigurierst du SAML und SCIM. Zu diesem Zeitpunkt werden Benutzer*innen, Gruppen und Identitäten erneut bereitgestellt.

Wenn Enterprise Managed Users neu für dich ist und du noch keine Authentifizierung für dein Unternehmen konfiguriert hast, musst du nicht migrieren und kannst sofort SAML Single Sign-On (SSO) einrichten. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.

Warnung: Wenn Sie zu einem neuen IdP oder Mandanten migrieren, werden Verbindungen zwischen GitHub-Teams und IdP-Gruppen entfernt und nach der Migration nicht erneut aktualisiert. Dadurch werden alle Mitglieder aus dem Team entfernt und das Team nicht mit Ihrem IdP verbunden, was zu Unterbrechungen führen kann, wenn Sie die Teamsynchronisierung verwenden, um den Zugriff auf Organisationen oder Lizenzen von Ihrem IdP zu verwalten. Es wird empfohlen, die Endpunkte „Externe Gruppen“ der REST-API zu verwenden, um Informationen zu Ihrem Teams-Setup zu sammeln, bevor Sie migrieren und anschließend Verbindungen reaktivieren. Weitere Informationen findest du unter REST-API-Endpunkte für externe Gruppen.

Voraussetzungen

  • Dein Unternehmen auf GitHub.com muss derzeit für die Verwendung von OIDC für die Authentifizierung konfiguriert sein. Weitere Informationen findest du unter Konfigurieren von OIDC für Enterprise Managed Users.

  • Sie müssen sowohl auf Ihr Unternehmen auf GitHub.com als auch auf Ihren Mandanten in Entra ID zugreifen.

    • Zum Konfigurieren der GitHub Enterprise Managed User (OIDC)-Anwendung in Entra ID müssen Sie sich beim Entra ID-Mandanten als Benutzer*in mit der globalen Administratorrolle anmelden.
    • Um dich als Setupbenutzer für dein Unternehmen auf GitHub.com anzumelden, musst du eine Wiederherstellungscode für das Unternehmen verwenden. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

  • Planen die Migration für einen Zeitraum, in dem die Ressourcen deines Unternehmens nicht aktiv genutzt werden. Während der Migration können Benutzerinnen erst auf dein Unternehmen zugreifen, wenn du die neue Anwendung und die Benutzerinnen als erneut bereitgestellt konfiguriert hast.

Migrieren deines Unternehmens

  1. Melde dich auf GitHub.com als Setupbenutzer*in für dein Unternehmen mit dem Benutzernamen @SHORT-CODE_admin an. Ersetze SHORT-CODE dabei durch den Kurzcode deines Unternehmens.

  2. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  4. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  5. Wenn du aufgefordert wirst, mit deinem Identitätsanbieter fortzufahren, klicke auf Wiederherstellungscode verwenden, und melde dich mit einem der Wiederherstellungscodes deines Unternehmens an.

    Hinweis: Du musst einen Wiederherstellungscode für dein Unternehmen und nicht für dein Benutzerkonto verwenden. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

  6. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  7. Deaktiviere Einmaliges Anmelden für OIDC anfordern.

  8. Klicke auf Speichern.

  9. Konfiguriere SAML-Authentifizierung und SCIM-Bereitstellung. Weitere Informationen finden Sie auf Microsoft Learn unter Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra mit GitHub Enterprise Managed User.