Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Azure AD erhältlich.
Informationen zur Unterstützung der Richtlinien für bedingten Zugriff
Wenn dein Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern oder wenn ein personal access token bzw. ein SSH-Schlüssel verwendet wird.
GitHub Enterprise Cloud unterstützt CAP für alle Unternehmen mit verwalteten Benutzerinnen mit aktiviertem OIDC-SSO. GitHub Enterprise Cloud erzwingt die IP-Bedingungen deines Identitätsanbieters, kann aber nicht die Gerätekompatibilitätsbedingungen erzwingen. Unternehmensbesitzerinnen können diese Konfiguration für eine Liste zugelassener IP-Adressen anstelle der Liste zugelassener IP-Adressen von GitHub Enterprise Cloud verwenden. Dies ist nach der Konfiguration von OIDC-SSO möglich. Weitere Informationen zu IP-Positivlisten findest du unter Einschränken des Netzwerkdatenverkehrs in deinem Unternehmen mit einer Liste zugelassener IP-Adressen und Verwaltung erlaubter IP-Adressen für deine Organisation.
Weitere Informationen zur Verwendung von OIDC mit Enterprise Managed Users findest du unter Konfigurieren von OIDC für Enterprise Managed Users und Migrieren von SAML zu OIDC.
Überlegungen zu Integrationen und Automatisierungen
GitHub sendet die IP-Quelladresse zur Überprüfung anhand deiner CAP an deinen IdP. Um sicherzustellen, dass Aktionen und Apps nicht von der CAP deines IdP blockiert werden, musst du Änderungen an deiner Konfiguration vornehmen.
Warnung: Wenn du GitHub Enterprise Importer verwendest, um eine Organisation von deine GitHub Enterprise Server-Instanz zu migrieren, verwende unbedingt ein Dienstkonto, das von der Azure AD-CAP ausgenommen ist, da deine Migration sonst blockiert werden könnte.
GitHub Actions
Aktionen, die ein personal access token verwenden, werden wahrscheinlich von der CAP deines Identitätsanbieters blockiert. personal access token sollten von einem Dienstkonto erstellt werden, das dann von IP-Steuerungen in der CAP deines Identitätsanbieters ausgenommen ist.
Wenn du kein Dienstkonto verwenden kannst, ist die Zulassung der von GitHub Actions verwendeten IP-Bereiche eine weitere Option, Aktionen freizugeben, die personal access token verwenden. Weitere Informationen findest du unter Informationen zu den IP-Adressen von GitHub.
GitHub Apps und OAuth Apps
Wenn GitHub Apps und OAuth Apps eine Benutzerin anmeldet und Anforderungen im Auftrag von dieser bzw. diesem vornehmen, sendet GitHub die IP-Adresse des Servers der App zur Überprüfung an deinen IdP. Wenn die IP-Adresse des Servers der App von der CAP deines IdP nicht überprüft wird, tritt bei der Anforderung ein Fehler auf.
Wenn GitHub Apps GitHub-APIs aufruft, die entweder als App selbst oder als Installation fungieren, werden diese Aufrufe nicht im Namen von Benutzer*innen ausgeführt. Da die CAP deines Identitätsanbieters ausgeführt wird und Richtlinien auf Benutzerkonten anwendet, können diese Anwendungsanforderungen nicht anhand der CAP überprüft werden und sind immer zulässig. Weitere Informationen zur Authentifizierung von GitHub Apps als Apps selbst oder als Installation findest du unter Informationen zur Authentifizierung mit einer GitHub-App.
Du kannst die Besitzer der Apps, die du verwenden möchtest, nach ihren IP-Bereichen fragen und die CAP deines IDP konfigurieren, um den Zugriff von diesen IP-Bereichen aus zu ermöglichen. Wenn du dich nicht an die Besitzer wenden kannst, kannst du deinen IdP-Anmeldeprotokollen die in den Anforderungen angezeigten IP-Adressen entnehmen und dann diese Adressen auf die Zulassungsliste setzen.
Wenn du nicht alle IP-Adressbereiche für alle Apps deines Unternehmens zulassen möchtest, kannst du auch installierte GitHub Apps und autorisierte OAuth Apps aus der Liste zugelassener IP-Adressen des Identitätsanbieters ausschließen. In diesem Fall funktionieren diese Apps weiterhin, unabhängig von der ursprünglichen IP-Adresse. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.