Mit Enterprise Managed Users kannst du den Lebenszyklus und die Authentifizierung deiner Benutzer auf GitHub.com oder GHE.com verwalten und dafür ein externes Identitätsverwaltungssystem oder einen externen Identitätsanbieter nutzen:
- Ihr IdP stellt neue Benutzerkonten GitHub bereit, die Zugriff auf Ihr Unternehmen haben.
- Benutzer müssen sich bei Ihrem IDP authentifizieren, um auf die Ressourcen Ihres Unternehmens auf GitHub.com zuzugreifen.
- Sie steuern Benutzernamen, Profildaten, Unternehmensmitgliedschaft und Repositoryzugriff über den IdP.
- Wenn Ihr Unternehmen OIDC SSO verwendet, überprüft GitHub den Zugriff auf Ihr Unternehmen und seine Ressourcen mithilfe der Richtlinie für bedingten Zugriffs (Conditional Access Policy, CAP) Ihres IdP. Weitere Informationen findest du unter Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.
- Verwaltete Benutzerkonten können keine öffentlichen Inhalte erstellen oder außerhalb Ihres Unternehmens zusammenarbeiten. Weitere Informationen findest du unter Fähigkeiten und Einschränkungen von verwalteten Benutzerkonten.
Note
Enterprise Managed Users ist nicht die beste Lösung für jeden Kunden. Weitere Informationen dazu, ob dies für dein Unternehmen geeignet ist, findest du unter Auswählen eines Unternehmenstyps für GitHub Enterprise Cloud.
Identitätsverwaltungssysteme
GitHub arbeitet in Partnerschaft mit einigen Entwicklern von Identitätsverwaltungssystemen an einer „paved-path“-Integration in Enterprise Managed Users. Um Ihre Konfiguration zu vereinfachen und die vollständige Unterstützung sicherzustellen, nutzen Sie einen einzelnen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung.
Partneridentitätsanbieter
Partner-IDPs stellen die Authentifizierung mithilfe von SAML oder OIDC bereit und stellen die Bereitstellung mit System for Cross-Domain Identity Management (SCIM) bereit.
Partner-IdP | SAML | OIDC | SCIM |
---|---|---|---|
Entra-ID | |||
Okta | |||
PingFederate |
Wenn Sie einen einzelnen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden, bietet GitHub Unterstützung für die Anwendung auf dem Partner-IdP sowie die Integration von IdPs mit GitHub.
Andere Identitätsverwaltungssysteme
Wenn Sie nicht einen einzigen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden können, können Sie ein anderes Identitätsmanagementsystem oder eine Kombination von Systemen verwenden. Das System muss:
- Die Integrationsrichtlinien von GitHub einhalten
- Eine Authentifizierung mithilfe von SAML gemäß der Spezifikation SAML 2.0 ermöglichen
- Biete eine Benutzerlebenszyklusverwaltung mithilfe von SCIM an, die der SCIM 2.0-Spezifikation entspricht und mit der REST-API von GitHub kommuniziert. Weitere Informationen findest du unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.
GitHub unterstützt nicht ausdrücklich das Mischen und Abgleichen von Partner-IdPs für die Authentifizierung und Bereitstellung und testet nicht alle Identitätsverwaltungssysteme. Das GitHub-Supportteam ist möglicherweise nicht in der Lage, Ihnen bei Problemen im Zusammenhang mit gemischten oder ungetesteten Systemen zu helfen. Wenn Sie Hilfe benötigen, müssen Sie die Dokumentation, das Supportteam oder andere Ressourcen des Systems konsultieren.
Benutzernamen und Profilinformationen
GitHub erstellt automatisch einen Benutzernamen für jeden Entwickler durch Normalisierung eines von Ihrem IdP bereitgestellten Bezeichners. Wenn die eindeutigen Teile des Bezeichners während der Normalisierung entfernt werden, kann ein Konflikt auftreten. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung.
Der Profilname und die E-Mail-Adresse von einem verwaltetes Benutzerkonto wird vom IdP bereitgestellt:
- Verwaltete Benutzerkonten können ihren Profilnamen oder ihre E-Mail-Adresse nicht auf GitHub ändern.
- Der IdP kann nur eine E-Mail-Adresse angeben.
- Wenn Sie die E-Mail-Adresse eines Benutzers in Ihrem IdP ändern, wird der Benutzer aus dem mit der alten E-Mail-Adresse verbundenen Beitragsverlauf entfernt.
Verwalten von Rollen und Zugriff
Auf Ihrem IdP können Sie jedem verwaltetes Benutzerkonto eine Rolle in Ihrem Unternehmen, z. B. Mitglied, Besitzer oder Gastmitarbeiter, zuweisen. Weitere Informationen findest du unter Rollen in einem Unternehmen.
Organisationsmitgliedschaften (und Repository-Zugriff) können manuell verwaltet oder automatisch mithilfe von IdP-Gruppen aktualisiert werden. Weitere Informationen findest du unter Verwalten von Teammitgliedschaften mit Identitätsanbietergruppen.
Authentifizierung für verwaltete Benutzerkonten
Die Speicherorte, an denen verwaltete Benutzerkonten sich bei GitHub authentifizieren können, hängt davon ab, wie Sie die Authentifizierung konfigurieren (SAML oder OIDC). Weitere Informationen findest du unter Authentifizieren mit Enterprise Managed Users.
Wenn ein nicht authentifizierter Benutzer versucht, auf Ihr Unternehmen zuzugreifen, zeigt GitHub standardmäßig einen 404-Fehler an. Optional können Sie stattdessen automatische Umleitungen zu Single Sign-On (SSO) aktivieren. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.