Skip to main content

Konfigurieren von OIDC für Enterprise Managed Users

Du kannst den Zugriff auf dein Unternehmenskonto auf GitHub automatisch verwalten, indem du OpenID Connect (OIDC) Single Sign-On (SSO) konfigurierst und die Unterstützung für die Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP aktivierst.

Um Benutzer in deinem Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein, die in GitHub Enterprise Cloud verfügbar sind. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Azure AD erhältlich.

Informationen zu OIDC für Enterprise Managed Users

Mit Enterprise Managed Users verwendet dein Unternehmen deinen Identitätsanbieter (IdP) für die Authentifizierung aller Mitglieder. Du kannst mit OpenID Connect (OIDC) die Authentifizierung für dein enterprise with managed users verwalten. Das Aktivieren von OIDC SSO ist ein One-Klick-Einrichtungsprozess mit Zertifikaten, die von GitHub und deinem IdP verwaltet werden.

Wenn dein Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern oder wenn ein personal access token bzw. ein SSH-Schlüssel verwendet wird. Weitere Informationen findest du unter Informationen zur Unterstützung der Richtlinie für bedingten Zugriff deines IdP.

Du kannst die Lebensdauer einer Sitzung und die Häufigkeit, mit der sich ein managed user account bei deinem Identitätsanbieter neu authentifizieren muss, anpassen, indem du die Lebensdauerrichtlinien-Eigenschaft der für GitHub von deinem Identitätsanbieter ausgestellten ID-Tokens änderst. Die Standardlebensdauer beträgt eine Stunde. Weitere Informationen findest du unter Konfigurierbare Tokengültigkeitsdauer in Microsoft Identity Platform in der Azure AD-Dokumentation.

Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.

Warnung: Wenn du GitHub Enterprise Importer verwendest, um eine Organisation von your GitHub Enterprise Server instance zu migrieren, verwende unbedingt ein Dienstkonto, das von der Azure AD-CAP ausgenommen ist, da deine Migration sonst blockiert werden könnte.

Unterstützung für Identitätsanbieter

Die Unterstützung für OIDC ist für Kundschaft verfügbar, die Azure Active Directory (Azure AD) verwendet.

Jeder Azure AD-Mandant kann nur eine OIDC-Integration mit Enterprise Managed Users unterstützen. Wenn du Azure AD auf GitHub mit mehreren Unternehmen verbinden möchtest, verwende stattdessen SAML. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für Enterprise Managed Users.

Konfigurieren von OIDC für Enterprise Managed Users

  1. Melde dich auf GitHub.com als Setupbenutzer für dein neues Unternehmen mit dem Namen @KURZCODE_admin an.

  2. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen. „Deine Unternehmen“ im Dropdownmenü für das Profilfoto auf GitHub Enterprise Cloud

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest. Name eines Unternehmens in der Liste deiner Unternehmen

  4. Klicke in der Randleiste des Unternehmenskontos auf Einstellungen. Registerkarte „Einstellungen“ in der Randleiste des Unternehmenskontos

  5. Klicke in der linken Seitenleiste auf Authentifizierungssicherheit. Registerkarte „Sicherheit“ auf der Randleiste mit den Unternehmenskontoeinstellungen

  6. Wähle Einmaliges Anmelden für OIDC anfordern aus.
    Screenshot des Kontrollkästchens „Einmaliges Anmelden für OIDC anfordern“

  7. Um die Einrichtung fortzusetzen und zu Azure AD umgeleitet zu werden, klicke auf Speichern.

  8. Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Azure AD die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivierst du Zustimmung im Namen Ihrer Organisation und klickst dann auf Annehmen.

    Warnung: Du musst dich bei Azure AD als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.

    1. Um sicherzustellen, dass du weiterhin auf dein Unternehmen zugreifen kannst, wenn dein Identitätsanbieter jemals nicht verfügbar sein sollte, klicke auf **Herunterladen**, **Drucken** oder **Kopieren**, um deine Wiederherstellungscodes zu speichern. Weitere Informationen findest du unter [Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto](/admin/identity-and-access-management/managing-recovery-codes-for-your-enterprise/downloading-your-enterprise-accounts-single-sign-on-recovery-codes).

    Screenshot der Schaltflächen zum Herunterladen, Drucken oder Kopieren von Wiederherstellungscodes

Aktivieren der Bereitstellung

Nach der OIDC SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für verwaltete Unternehmensbenutzer.