Skip to main content

Informationen zu Enterprise Managed Users

Du kannst Identität und Zugriff für deine Unternehmensmitglieder auf GitHub über deinen Identitätsanbieter (IdP) zentral verwalten.

Informationen zu Enterprise Managed Users

Mit Enterprise Managed Users verwalten Sie den Lebenszyklus und die Authentifizierung Ihrer Benutzer über GitHub.com aus einem externen Identitätsverwaltungssystem oder IdP. Sie können Zugriff auf GitHub Enterprise Cloud für Personen bereitstellen, die über vorhandene Identitäten und Gruppenmitgliedschaften in Ihrem IdP verfügen. Ihr IdP stellt neue Benutzerkonten mit Zugriff auf Ihr Unternehmen auf GitHub.com bereit. Sie steuern Benutzernamen, Profildaten, Teammitgliedschaft und Repository-Zugriff für die Benutzerkonten über Ihren IdP.

Auf Ihrem IdP können Sie jedem verwaltetes Benutzerkonto eine Rolle, z. B. Mitglied, Unternehmensbesitzer oder Gastmitarbeiter, zuweisen. Verwaltete Benutzerkonten können Organisationen innerhalb deines Unternehmens besitzen und andere verwaltete Benutzerkonten den Organisationen und Teams innerhalb des Unternehmens hinzufügen. Weitere Informationen findest du unter Rollen in einem Unternehmen und unter Informationen zu Organisationen.

Wenn Ihr Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) Ihres IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern und bei jeder Authentifizierung mit personal access token bzw. wenn ein mit einem Benutzerkonto verknüpfter SSH-Schlüssel verwendet wird. Weitere Informationen findest du unter Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.

Du kannst für verwaltete Benutzerkonten Zugriff gewähren und die Möglichkeit bieten, Beiträge zu Repositorys innerhalb deines Unternehmens zu leisten, doch verwaltete Benutzerkonten sind nicht dazu in der Lage, öffentliche Inhalte zu erstellen oder mit anderen Benutzer*innen, Organisationen und Unternehmen im übrigen Bereich von GitHub zusammenzuarbeiten. Weitere Informationen findest du unter Möglichkeiten und Einschränkungen von verwaltete Benutzerkonten.

Die Benutzernamen der verwaltete Benutzerkonten deines Unternehmens und ihre Profilinformationen, z. B. Anzeigenamen und E-Mail-Adressen, werden durch deinen IdP festgelegt und können von den Benutzer*innen selbst nicht geändert werden. Weitere Informationen findest du unter Benutzernamen und Profilinformationen.

Unternehmensbesitzer*innen können alle Aktionen der verwaltete Benutzerkonten auf GitHub überprüfen. Weitere Informationen findest du unter Überwachungsprotokollereignisse für Ihre Enterprise.

Zum Verwenden von Enterprise Managed Users benötigst du einen separaten Unternehmenskontotyp mit Aktivierung von Enterprise Managed Users. Weitere Informationen zum Erstellen dieses Kontos findest du unter Erste Schritte mit Enterprise Managed Users.

Hinweis: Es gibt mehrere Optionen für die Identitäts- und Zugriffsverwaltung mit GitHub Enterprise Cloud, wobei Enterprise Managed Users nicht die beste Lösung für jeden Kunden ist. Weitere Informationen darüber, ob Enterprise Managed Users für Ihr Unternehmen geeignet ist, findest du unter „Auswählen eines Unternehmenstyps für GitHub Enterprise Cloud“ und „Fähigkeiten und Einschränkungen von verwalteten Benutzerkonten“.

Infos über Authentifizierung und Benutzerbereitstellung

Mit Enterprise Managed Users erstellt und aktualisiert Ihr IdP Benutzerkonten auf GitHub.com. Benutzer müssen sich bei Ihrem IDP authentifizieren, um auf die Ressourcen Ihres Unternehmens auf GitHub.com zuzugreifen. GitHub Enterprise Cloud Erhält einen Datensatz der External Identities auf Ihrem IdP, der dem Benutzerkonto entspricht.

GitHub arbeitet in Partnerschaft mit einigen Entwicklern von Identitätsverwaltungssystemen an einer Integration in Enterprise Managed Users auf einem vorbereiteten Weg. Um Ihre Konfiguration zu vereinfachen und die vollständige Unterstützung sicherzustellen, empfiehlt GitHub, dass Sie einen einzelnen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden. Diese IdP stellen hauptsächlich eine Authentifizierung mithilfe von SAML bereit. Microsoft Entra ID (früher azure AD genannt) bietet auch OIDC für die Authentifizierung. Die IdP-Anwendungen stellen Benutzer mit System for Cross-Domain Identity Management (SCIM) bereit.

Partner-IdPSAMLOIDCSCIM
Entra-ID
Okta
PingFederate

Andere IdP müssen der SAML 2.0-Spezifikation für die Authentifizierung entsprechen. Sie können die Bereitstellung mit IdP konfigurieren, die den Integrationsrichtlinien von GitHub entsprechen. Der IdP muss der SCIM 2.0-Spezifikation entsprechen und mit der REST-API von GitHub kommunizieren. Das IdP könnte z. B. ein kommerzielles Identitätsverwaltungssystem sein, das GitHub nicht getestet hat, oder ein benutzerdefiniertes Identitätssystem, das Ihr Unternehmen erstellt.

Hinweis: Die Unterstützung der Bereitstellung des öffentlichen SCIM-Schemas von GitHub für Benutzer befindet sich in der öffentlichen Betaversion und kann noch geändert werden.

Weitere Informationen zur Authentifizierung und Bereitstellung finden Sie in den folgenden Artikeln.

Wenn Sie die Anwendung eines Partner-IdP nicht sowohl für die Authentifizierung als auch für die Bereitstellung verwenden, können Sie die Authentifizierung mithilfe von SAML konfigurieren und Benutzer mit der REST-API von GitHub bereitstellen. Weitere Informationen finden Sie unter „Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API“ und wenden Sie sich an die Dokumentation, das Supportteam oder andere Ressourcen Ihres IdP.

Einige Kunden haben Erfolg bei der Verwendung der Anwendung eines Partner-IdP nur für die Authentifizierung gemeldet, in Kombination mit einem anderen Identitätsverwaltungssystem für die Bereitstellung. Sie können beispielsweise Okta für SAML SSO und eine benutzerdefinierte SCIM-Implementierung für die Benutzerbereitstellung verwenden. GitHub unterstützt nicht ausdrücklich das Mischen und Abgleichen von Partner-IdPs für die Authentifizierung und Bereitstellung, testet Partner-IdPs nicht in Kombination mit anderen IdPs und hat nicht alle Identitätsverwaltungssysteme getestet.

Erste Schritte mit Enterprise Managed Users

Ehe deine Entwickler GitHub Enterprise Cloud mit Enterprise Managed Users verwenden können, musst du eine Reihe von Konfigurationsschritten durchführen.

  1. Zum Verwenden von Enterprise Managed Users benötigst du einen separaten Unternehmenskontotyp mit Aktivierung von Enterprise Managed Users. Zum Ausprobieren von Enterprise Managed Users oder zum Besprechen von Optionen zum Migrieren deines vorhandenen Unternehmens kannst du dich an das GitHub-Vertriebsteam wenden.

    Dein Ansprechpartner im GitHub-Vertriebsteam arbeitet mit dir zusammen, um dein neues Unternehmen mit verwalteten Benutzer*innen zu erstellen. Du musst die E-Mail-Adresse für den Benutzer bereitstellen, der dein Unternehmen einrichtet, und einen kurzen Code, der als Suffix für die Benutzernamen deiner Unternehmensmitglieder verwendet wird. Der kurze Code muss für Ihr Unternehmen eindeutig sein. Es muss sich um eine alphanumerische Zeichenfolge mit drei bis acht Zeichen handeln, die keine Sonderzeichen enthält. Weitere Informationen findest du unter Benutzernamen und Profilinformationen.

  2. Nachdem das Unternehmen erstellt ist, erhältst du eine E-Mail von GitHub, in der du gebeten wirst, ein Kennwort für den Setupbenutzer deines Unternehmens auszuwählen, der als erster Besitzer des Unternehmens geführt wird. Verwenden Sie ein Inkognito- oder privates Browserfenster, wenn Sie das Kennwort festlegen und die Wiederherstellungscodes für den Benutzer speichern. Der Setupbenutzer wird nur zum Konfigurieren der SSO- und SCIM-Bereitstellungsintegration für das Unternehmen verwendet. Sobald SSO konfiguriert ist, ist der Zugriff auf Unternehmens- oder Organisationseinstellungen nicht mehr möglich, es sei denn, es wird ein SSO-Wiederherstellungscode verwendet.

    Der Benutzername des Setupbenutzers ist der kurze Code deines Unternehmens mit dem Suffix _admin, zum Beispiel fabrikam_admin. Wenn Sie sich später als Setupbenutzer anmelden müssen, können Sie den Benutzernamen und das Kennwort auf jeder Anmeldeseite eingeben. Ein Link zur Anmeldeseite wird auch auf der SSO-Seite zur Vereinfachung bereitgestellt.

    Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Supportportal an den GitHub-Support.

  3. Nachdem du dich als Setupbenutzer angemeldet hast, empfehlen wir die Aktivierung der zweistufigen Authentifizierung. Das Kennwort des Setupbenutzers und die zweistufigen Anmeldeinformationen können auch verwendet werden, um den Sudo-Modus einzugeben, der zum Ausführen vertraulicher Aktionen erforderlich ist. Weitere Informationen finden Sie unter Zwei-Faktor-Authentifizierung konfigurieren und unter Sudo-Modus.

  4. Konfigurieren Sie zunächst , wie sich Ihre Mitglieder authentifizieren sollen. Wenn Sie Entra ID als Ihren IdP verwenden, können Sie zwischen OpenID Connect (OIDC) und Security Assertion Markup Language (SAML) wählen. OIDC wird empfohlen, da es auch Unterstützung für Richtlinien für bedingten Zugriff (Conditional Access Policies, CAP) umfasst. Wenn du mehrere Unternehmen mit verwaltete Benutzerkonten benötigst, die über einen Mandanten bereitgestellt werden, musst du SAML für jedes Unternehmen nach dem ersten verwenden. Wenn Sie einen anderen IdP, wie Okta oder PingFederate verwenden, können Sie SAML für die Authentifizierung Ihrer Mitglieder nutzen.

    Lies zunächst den Leitfaden für deine gewählte Authentifizierungsmethode.

  5. Sobald du SSO konfiguriert hast, kannst du die SCIM-Bereitstellung konfigurieren. SCIM ist dafür zuständig, wie dein Identitätsanbieter verwaltete Benutzerkonten auf GitHub.com zu erstellen. Weitere Informationen zur Konfiguration der SCIM-Bereitstellung findest du unter Konfigurieren der SCIM-Bereitstellung für Enterprise Managed Users.

  6. Sobald die Authentifizierung und Bereitstellung konfiguriert sind, kannst du mit der Verwaltung der Organisationsmitgliedschaft für deine verwaltete Benutzerkonten beginnen, indem du IdP-Gruppen mit Teams synchronisierst. Weitere Informationen findest du unter Verwalten von Teammitgliedschaften mit Identitätsanbietergruppen.

Wenn Mitglieder deines Unternehmens eine einzige Arbeitsstation verwenden müssen, um an Repositorys auf GitHub.com sowohl über ein verwaltetes Benutzerkonto als auch über ein persönliches Konto mitzuwirken, kannst du Support bereitstellen. Weitere Informationen findest du unter Unterstützen von Entwicklern mit mehreren Benutzerkonten auf GitHub.com.

Informationen zum Verwalten der Organisationsmitgliedschaft

Organisationsmitgliedschaften können manuell verwaltet oder automatisch mithilfe von IdP-Gruppen aktualisiert werden. Um Organisationsmitgliedschaften über deinen IdP zu verwalten, müssen die Mitglieder einer IdP-Gruppe hinzugefügt werden, und die Gruppe muss mit einem Team innerhalb der Organisation verbunden sein. Weitere Informationen zum automatischen Verwalten von Organisation und Teammitgliedschaft findest du unter Verwalten von Teammitgliedschaften mit Identitätsanbietergruppen.

Die Art, wie Mitglieder zu einer Organisation hinzugefügt werden, die deinem Unternehmen gehört – entweder über IdP-Gruppen oder manuell – bestimmt, wie sie aus einer Organisation entfernt werden müssen.

  • Wenn ein Mitglied einer Organisation manuell hinzugefügt wurde, musst du es manuell entfernen. Wenn du seine Zuweisung zur GitHub Enterprise Managed User-Anwendung auf deinem IdP aufhebst, wird das Mitglied gesperrt, jedoch nicht aus der Organisation entfernt.
  • Wenn Benutzer*innen Mitglieder einer Organisation wurden, da sie zu IdP-Gruppen hinzugefügt wurden, die einem oder mehreren Teams in der Organisation zugeordnet sind, werden sie, wenn sie aus allen zugeordneten IDP-Gruppen entfernt werden, die der Organisation zugeordnet sind, auch aus der Organisation entfernt.

Um zu ermitteln, wie ein Mitglied einer Organisation hinzugefügt wurde, kannst du die Mitgliederliste nach Typ filtern. Weitere Informationen findest du unter Anzeigen von Personen in deinem Unternehmen.

Authentifizieren mit verwaltetes Benutzerkonto

Verwaltete Benutzerkonten müssen sich über Ihren IdP authentifizieren. Die Art und Weise, wie sich verwaltete Benutzerkonten authentifizieren, hängt davon ab, ob Sie SAML- oder OIDC-Authentifizierung konfigurieren.

Wenn Ihr Unternehmen für die SAML-Authentifizierung konfiguriert ist, kann ein verwaltetes Benutzerkonto auf Ihr Unternehmen zugreifen, indem er dessen IdP-Anwendungsportal besucht. Wenn Ihr Unternehmen für die OIDC-Authentifizierung konfiguriert ist, kann ein verwaltetes Benutzerkonto über die Anmeldeseite auf GitHub.com auf Ihr Unternehmen zugreifen. Eine IdP-initiierte Authentifizierung wird derzeit für OIDC nicht unterstützt. In beiden Konfigurationen kann eine verwaltetes Benutzerkonto die Authentifizierung direkt von der Organisation oder der Seite des Unternehmens auf GitHub.com initiieren.

Wenn nicht authentifizierte Benutzerinnen versuchen, auf ein Unternehmen mit Enterprise Managed Users zuzugreifen, zeigt GitHub standardmäßig den Fehler 404 an. Unternehmensbesitzerinnen können optional automatische Umleitungen zum einmaligen Anmelden (SSO) anstelle des Fehlers 404 aktivieren. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.

Wenn ein SAML-Konfigurationsfehler oder ein Problem mit deinem Identitätsanbieter (IdP) verhindert, dass du SAML SSO verwendest, kannst du einen Wiederherstellungscode verwenden, um auf dein Unternehmen zuzugreifen. Weitere Informationen findest du unter Verwalten von Wiederherstellungscodes für dein Unternehmen.

Authentifizieren als verwaltetes Benutzerkonto über GitHub.com

  1. Navigiere zu https://github.com/login.
  2. Gib im Textfeld „Username or email address“ (Benutzername oder E-Mail-Adresse) deinen Benutzernamen ein, einschließlich des Unterstrichs und des kurzen Codes. Wenn dein Benutzername vom Formular erkannt wird, wird das Formular aktualisiert. Sie müssen Ihr Kennwort in diesem Formular nicht eingeben.
  3. Klicken Sie auf Anmelden mit Identitätsanbieter, um den Vorgang über Ihren IdP fortzusetzen.

Benutzernamen und Profilinformationen

GitHub Enterprise Cloud erstellt automatisch einen Benutzernamen für jede Person, indem ein von deinem IdP bereitgestellter Bezeichner normalisiert wird. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Der Profilname und die E-Mail-Adresse von einem verwaltetes Benutzerkonto wird vom IdP bereitgestellt. Verwaltete Benutzerkonten können ihren Profilnamen oder ihre E-Mail-Adresse auf GitHub nicht ändern, und der IdP kann nur eine einzelne E-Mail-Adresse bereitstellen. Wenn Sie die E-Mail-Adresse ändern, die einem Benutzer in Ihrem IdP zugeordnet ist, wird die Verknüpfung des Benutzers vom Beitragsverlauf bezüglich seiner alten E-Mail-Adresse aufgehoben.

Bei der Bereitstellung von Benutzern kann ein Konflikt auftreten, wenn die eindeutigen Teile des von deinem IdP bereitgestellten Bezeichners während der Normalisierung entfernt werden. Wenn du einen Benutzer aufgrund eines Benutzernamenskonflikts nicht bereitstellen kannst, solltest du den vom IdP bereitgestellten Benutzernamen ändern. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Hinweis: Da GitHub beim Erstellen von Benutzernamen einen Unterstrich und Kurzcode zu dem von deinem IdP bereitgestellten normalisierten Bezeichner hinzufügt, können Konflikte nur in einem einzelnen Unternehmen mit verwalteten Benutzer*innen auftreten. Verwaltete Benutzerkonten kann IdP-Bezeichner oder E-Mail-Adressen für andere Benutzerkonten auf GitHub.com freigeben, die sich außerhalb des Unternehmens befinden.

Unterstützen von Entwickler*innen mit mehreren Benutzerkonten auf GitHub.com

Personen in deinem Team müssen möglicherweise an Ressourcen auf GitHub.com mitwirken, die sich außerhalb deines Unternehmen mit verwalteten Benutzerinnen befinden. Beispielsweise möchtest du ein separates Unternehmen für die Open-Source Projekte deines Unternehmens verwalten. Da ein verwaltetes Benutzerkonto nicht an öffentlichen Ressourcen mitwirken kann, müssen Benutzerinnen für diese Arbeit über ein separates, persönliches Konto verfügen.

Personen, die von zwei Benutzerkonten auf GitHub.com und mithilfe einer einzigen Arbeitsstation mitwirken müssen, können Git für einen vereinfachten Prozess konfigurieren. Weitere Informationen findest du unter Verwalten mehrerer Konten.

Wenn es Personen in Ihrem Team gibt, die regelmäßig zwischen Konten auf GitHub.com wechseln müssen, z. B. ihre persönliches Konten und mindestens ein verwaltete Benutzerkonten, können Sie sich bei mehreren Konten anmelden und schnell zwischen ihnen wechseln, ohne immer erneut authentifizieren zu müssen. Weitere Informationen findest du unter Wechseln zwischen Konten.