Konfigurieren von OIDC für Enterprise Managed Users

Du kannst den Zugriff auf dein Unternehmenskonto auf GitHub automatisch verwalten, indem du OpenID Connect (OIDC) Single Sign-On (SSO) konfigurierst und die Unterstützung für die Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP aktivierst.

Wer kann dieses Feature verwenden?

Um Benutzer*innen im Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein. Dies ist in GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

In diesem Artikel

Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Microsoft Entra ID (früher bekannt als Azure AD) erhältlich.

Informationen zu OIDC für Enterprise Managed Users

Mit Enterprise Managed Users verwendet dein Unternehmen deinen Identitätsanbieter (IdP) für die Authentifizierung aller Mitglieder. Du kannst mit OpenID Connect (OIDC) die Authentifizierung für dein Unternehmen mit verwalteten Benutzer*innen verwalten. Das Aktivieren von OIDC SSO ist ein One-Klick-Einrichtungsprozess mit Zertifikaten, die von GitHub und deinem IdP verwaltet werden.

Wenn Ihr Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) Ihres IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern und bei jeder Authentifizierung mit personal access token bzw. wenn ein mit einem Benutzerkonto verknüpfter SSH-Schlüssel verwendet wird. Weitere Informationen findest du unter Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.

Du kannst die Lebensdauer einer Sitzung und die Häufigkeit anpassen, mit der sich ein verwaltetes Benutzerkonto bei deinem Identitätsanbieter neu authentifizieren muss, indem du die Lebensdauerrichtlinien-Eigenschaft der für GitHub von deinem Identitätsanbieter ausgestellten ID-Token änderst. Die Standardlebensdauer beträgt eine Stunde. Weitere Informationen finden Sie unter Konfigurieren von Tokenlebensdauerrichtlinien in Microsoft Learn.

Hinweis: Wenn du Hilfe beim Konfigurieren der OIDC-Sitzungsdauer benötigst, kontaktiere den Microsoft-Support.

Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.

Warnung: Wenn Sie GitHub Enterprise Importer verwenden, um eine Organisation von deine GitHub Enterprise Server-Instanz zu migrieren, verwenden Sie unbedingt ein Dienstkonto, das von der Entra ID-CAP ausgenommen ist, da Ihre Migration sonst blockiert werden könnte.

Unterstützung für Identitätsanbieter

Unterstützung für OIDC ist für Kunden verfügbar, die Entra ID verwenden.

Jeder Entra ID-Mandant kann nur eine OIDC-Integration mit Enterprise Managed Users unterstützen. Wenn Sie Entra ID auf GitHub mit mehreren Unternehmen verbinden möchten, verwenden Sie stattdessen SAML. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.

OIDC unterstützt keine idP-initiierte Authentifizierung.

Konfigurieren von OIDC für Enterprise Managed Users

  1. Melde dich auf GitHub.com als Setupbenutzer für dein neues Unternehmen mit dem Namen @KURZCODE_admin an.

  2. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  4. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  5. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  6. Wähle unter „Einmaliges Anmelden mit OpenID Connect“ die Option Einmaliges Anmelden für OIDC anfordern aus.

  7. Um die Einrichtung fortzusetzen und zu Entra ID umgeleitet zu werden, klicken Sie auf Speichern.

  8. Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Entra ID die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivieren Sie Zustimmung im Namen Ihrer Organisation und klicken SIe dann auf Annehmen.

    Warnung: Sie müssen sich bei Entra ID als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.

  9. Um sicherzustellen, dass Sie weiterhin unter GitHub.com auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter „Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto“.

  10. Klicke auf OIDC-Authentifizierung aktivieren.

Aktivieren der Bereitstellung

Nach der OIDC SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für Enterprise Managed Users.

Aktivieren von Gast-Projektmitarbeitern

Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.

Um Gast-Projektmitarbeiter mit OIDC-Authentifizierung zu verwenden, müssen Sie möglicherweise Ihre Einstellungen in Entra ID aktualisieren. Weitere Informationen findest du unter Aktivieren von Gast-Projektmitarbeitern.