Note
Die Unterstützung von OpenID Connect (OIDC) und der Richtlinie für bedingten Zugriff für Enterprise Managed Users ist nur in Microsoft Entra ID (früher Azure AD) verfügbar.
Informationen zu OIDC für Enterprise Managed Users
Mit Enterprise Managed Users verwendet dein Unternehmen deinen Identitätsanbieter (IdP) für die Authentifizierung aller Mitglieder. Du kannst mit OpenID Connect (OIDC) die Authentifizierung für dein Unternehmen mit verwalteten Benutzer*innen verwalten. Das Aktivieren von OIDC SSO ist ein One-Klick-Einrichtungsprozess mit Zertifikaten, die von GitHub und deinem IdP verwaltet werden.
Wenn dein Unternehmen OIDC SSO verwendet, nutzt GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (conditional access policy, CAP) deines Identitätsanbieters, um Interaktionen mit GitHub zu überprüfen, wenn Mitglieder die Web-UI verwenden oder die IP-Adressen ändern. Für jede Authentifizierung wird jedem Benutzerkonto ein personal access token oder ein SSH-Schlüssel zugeordnet. Weitere Informationen findest du unter Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.
Note
Der CAP-Schutz für Websitzungen befindet sich derzeit in der public preview und kann noch geändert werden.
Wenn die IDP-CAP-Unterstützung für dein Unternehmen bereits aktiviert ist, kannst du den erweiterten Schutz für Websitzungen über die Einstellungen „Authentication security“ deines Unternehmens aktivieren. Um dieses Feature zu aktivieren, muss dein Unternehmen über 1.000 oder weniger Mitglieder verfügen, aktiv oder gesperrt.
Du kannst die Lebensdauer einer Sitzung und die Häufigkeit anpassen, mit der sich ein verwaltetes Benutzerkonto bei deinem Identitätsanbieter neu authentifizieren muss, indem du die Lebensdauerrichtlinien-Eigenschaft der für GitHub von deinem Identitätsanbieter ausgestellten ID-Token änderst. Die Standardlebensdauer beträgt eine Stunde. Weitere Informationen findest du in der Microsoft-Dokumentation unter Konfigurieren von Tokenlebensdauerrichtlinien.
Um die Eigenschaft der Lebensdauerrichtlinie zu ändern, benötigen Sie die Objekt-ID, die Ihren Enterprise Managed Users OIDC zugeordnet ist. Weitere Informationen findest du unter Suchen der Objekt-ID für Ihre Entra OIDC-Anwendung.
Note
Wenn Sie Hilfe beim Konfigurieren der OIDC-Sitzungsdauer benötigen, kontaktieren Sie den Microsoft-Support.
Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.
Warning
Wenn du GitHub Enterprise Importer verwendest, um eine Organisation von deine GitHub Enterprise Server-Instanz zu migrieren, verwende unbedingt ein Dienstkonto, das von der Entra ID-CAP ausgenommen ist, da deine Migration sonst blockiert werden könnte.
Unterstützung für Identitätsanbieter
Unterstützung für OIDC ist für Kunden verfügbar, die Entra ID verwenden.
Jeder Entra ID-Mandant kann nur eine OIDC-Integration mit Enterprise Managed Users unterstützen. Wenn Sie Entra ID auf GitHub mit mehreren Unternehmen verbinden möchten, verwenden Sie stattdessen SAML. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.
OIDC unterstützt keine idP-initiierte Authentifizierung.
Konfigurieren von OIDC für Enterprise Managed Users
-
Melden Sie sich auf GitHub als Setupbenutzer für Ihr neues Unternehmen mit dem Namen @SHORT-CODE_admin an.
-
Klicke in der oberen rechten Ecke von GitHub auf dein Profilfoto und dann auf Dein Unternehmen.
-
Klicke links auf der Seite in der Enterprise-Konto Randleiste auf Identity provider.
-
Klicke unter Identity Provider auf Single sign-on configuration.
-
Wähle unter „OIDC single sign-on“ die Option Enable OIDC configuration aus.
-
Um die Einrichtung fortzusetzen und zu Entra ID umgeleitet zu werden, klicken Sie auf Speichern.
-
Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Entra ID die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivieren Sie Zustimmung im Namen Ihrer Organisation und klicken SIe dann auf Annehmen.
Warning
Du musst dich bei Entra ID als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.
-
Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
-
Klicke auf OIDC-Authentifizierung aktivieren.
Aktivieren der Bereitstellung
Nach der OIDC SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.
Aktivieren von Gast-Projektmitarbeitern
Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.
Um Gast-Projektmitarbeiter mit OIDC-Authentifizierung zu verwenden, müssen Sie möglicherweise Ihre Einstellungen in Entra ID aktualisieren. Weitere Informationen findest du unter Aktivieren von Gast-Projektmitarbeitern.