Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff

Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Azure AD erhältlich.

Um Benutzer in deinem Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein, die in GitHub Enterprise Cloud verfügbar sind. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Informationen zur Unterstützung der Richtlinien für bedingten Zugriff

Wenn dein Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern oder wenn ein personal access token bzw. ein SSH-Schlüssel verwendet wird.

GitHub Enterprise Cloud unterstützt CAP für alle enterprise with managed users mit aktiviertem OIDC-SSO.

GitHub Enterprise Cloud erzwingt die IP-Bedingungen deines Identitätsanbieters, kann aber nicht die Gerätekompatibilitätsbedingungen erzwingen. Unternehmensbesitzer*innen können diese Konfiguration für eine Liste zugelassener IP-Adressen anstelle der Liste zugelassener IP-Adressen von GitHub Enterprise Cloud verwenden. Dies ist nach der Konfiguration von OIDC-SSO möglich. Weitere Informationen zu Listen zugelassener IP-Adressen findest du unter Einschränken des Netzwerkdatenverkehrs mit einer Liste zugelassener IP-Adressen und Verwalten zulässiger IP-Adressen für deine Organisation. Weitere Informationen zur Verwendung von OIDC mit Enterprise Managed Users findest du unter Konfigurieren von OIDC für verwaltete Benutzer im Unternehmen und Migrieren von SAML zu OIDC.

Überlegungen zu Integrationen und Automatisierungen

GitHub sendet die IP-Quelladresse zur Überprüfung anhand deiner CAP an deinen IdP.

Um sicherzustellen, dass Aktionen und Apps nicht von der CAP deines IdP blockiert werden, musst du Änderungen an deiner Konfiguration vornehmen.

Warnung: Wenn du GitHub Enterprise Importer verwendest, um eine Organisation von your GitHub Enterprise Server instance zu migrieren, verwende unbedingt ein Dienstkonto, das von der Azure AD-CAP ausgenommen ist, da deine Migration sonst blockiert werden könnte.

GitHub Actions

Aktionen, die ein personal access token verwenden, werden wahrscheinlich von der CAP deines Identitätsanbieters blockiert.

personal access token sollten von einem Dienstkonto erstellt werden, das dann von IP-Steuerungen in der CAP deines Identitätsanbieters ausgenommen ist. Wenn du kein Dienstkonto verwenden kannst, ist die Zulassung der von GitHub Actions verwendeten IP-Bereiche eine weitere Option, Aktionen freizugeben, die personal access token verwenden.

Weitere Informationen findest du unter Informationen zu den IP-Adressen von GitHub. GitHub Apps und OAuth Apps

Wenn GitHub Apps und OAuth Apps eine Benutzerin anmeldet und Anforderungen im Auftrag von dieser bzw. diesem vornehmen (auch als user-to-server-Anforderung bekannt), sendet GitHub die IP-Adresse des Servers der App zur Überprüfung an deinen IdP.

Wenn die IP-Adresse des Servers der App von der CAP deines IdP nicht überprüft wird, tritt bei der Anforderung ein Fehler auf. Wenn GitHub Apps GitHub-APIs aufruft, die entweder als App selbst oder als Installation fungieren, werden diese Aufrufe nicht im Namen von Benutzer*innen ausgeführt. Dies wird auch als server-to-server-Anforderung bezeichnet.

Da die CAP deines Identitätsanbieters ausgeführt wird und Richtlinien auf Benutzerkonten anwendet, können diese Anwendungsanforderungen nicht anhand der CAP überprüft werden und sind immer zulässig. Weitere Informationen zur Authentifizierung von GitHub Apps findest du unter Authentifizieren mit GitHub-Apps. Du kannst die Besitzer der Apps, die du verwenden möchtest, nach ihren IP-Bereichen fragen und die CAP deines IDP konfigurieren, um den Zugriff von diesen IP-Bereichen aus zu ermöglichen.

Wenn du dich nicht an die Besitzer wenden kannst, kannst du deinen IdP-Anmeldeprotokollen die in den Anforderungen angezeigten IP-Adressen entnehmen und dann diese Adressen auf die Zulassungsliste setzen. Wenn du nicht alle IP-Adressbereiche für alle Apps deines Unternehmens zulassen möchtest, kannst du auch installierte GitHub Apps und autorisierte OAuth Apps aus der Liste zugelassener IP-Adressen des Identitätsanbieters ausschließen.

In diesem Fall funktionieren diese Apps weiterhin, unabhängig von der ursprünglichen IP-Adresse. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen. For more information, see "Enforcing policies for security settings in your enterprise."