Migrieren von SAML zu OIDC

Wenn du SAML zum Authentifizieren von Mitgliedern in deinem Unternehmen mit verwalteten Benutzer*innen verwendest, kannst du zu OpenID Connect (OIDC) migrieren und von der Unterstützung der Richtlinie für bedingten Zugriff deines Identitätsanbieters profitieren.

Wer kann dieses Feature verwenden?

Um Benutzer*innen im Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein. Dies ist in GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

In diesem Artikel

Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Microsoft Entra ID (früher bekannt als Azure AD) erhältlich.

Informationen zum Migrieren eines Unternehmen mit verwalteten Benutzer*innen von SAML zu OIDC

Wenn Ihr Unternehmen mit verwalteten Benutzer*innen SAML-SSO zum Authentifizieren bei Entra ID verwenden, können Sie zu OIDC migrieren. Wenn Ihr Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) Ihres IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern und bei jeder Authentifizierung mit personal access token bzw. wenn ein mit einem Benutzerkonto verknüpfter SSH-Schlüssel verwendet wird.

Bei der Migration von SAML zu OIDC wird dem Anzeigenamen von verwaltete Benutzerkonten und Gruppen, die zuvor für SAML bereitgestellt wurden, aber nicht von der GitHub Enterprise Managed User (OIDC)-Anwendung bereitgestellt werden, der Zusatz „(SAML)“ angehängt.

Wenn Enterprise Managed Users neu für dich ist und du noch keine Authentifizierung für dein Unternehmen konfiguriert hast, musst du nicht migrieren und kannst sofort OIDC Single Sign-On einrichten. Weitere Informationen findest du unter Konfigurieren von OIDC für Enterprise Managed Users.

Warnung: Wenn Sie zu einem neuen IdP oder Mandanten migrieren, werden Verbindungen zwischen GitHub-Teams und IdP-Gruppen entfernt und nach der Migration nicht erneut aktualisiert. Dadurch werden alle Mitglieder aus dem Team entfernt und das Team nicht mit Ihrem IdP verbunden, was zu Unterbrechungen führen kann, wenn Sie die Teamsynchronisierung verwenden, um den Zugriff auf Organisationen oder Lizenzen von Ihrem IdP zu verwalten. Es wird empfohlen, die Endpunkte „Externe Gruppen“ der REST-API zu verwenden, um Informationen zu Ihrem Teams-Setup zu sammeln, bevor Sie migrieren und anschließend Verbindungen reaktivieren. Weitere Informationen findest du unter REST-API-Endpunkte für externe Gruppen.

Voraussetzungen

  • Ihr Unternehmen auf GitHub.com muss derzeit so konfiguriert sein, dass SAML für die Authentifizierung verwendet wird, wobei Entra ID Ihr Identitätsanbieter (IdP) ist. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.

  • Sie müssen sowohl auf Ihr Unternehmen auf GitHub.com als auch auf Ihren Mandanten in Entra ID zugreifen.

    • Zum Konfigurieren der GitHub Enterprise Managed User (OIDC)-Anwendung in Entra ID müssen Sie sich beim Entra ID-Mandanten als Benutzer*in mit der globalen Administratorrolle anmelden.
    • Um dich als Setupbenutzer für dein Unternehmen auf GitHub.com anzumelden, musst du eine Wiederherstellungscode für das Unternehmen verwenden. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

  • Planen die Migration für einen Zeitraum, in dem die Ressourcen deines Unternehmens nicht aktiv genutzt werden. Während der Migration können Benutzerinnen erst auf dein Unternehmen zugreifen, wenn du die neue Anwendung und die Benutzerinnen als erneut bereitgestellt konfiguriert hast.

Migrieren deines Unternehmens

Um Ihr Unternehmen von SAML zu OIDC zu migrieren, deaktivieren Sie Ihr vorhandene GitHub Enterprise Managed User-Anwendung in Entra ID, bereiten Sie die Migration als Setupbenutzerin für Ihr Unternehmen auf GitHub.com vor, starten Sie sie, und konfigurieren Sie dann die neue Anwendung für OIDC in Azure AD. Nachdem die Migration abgeschlossen ist und Entra ID Ihr Benutzerinnen bereitgestellt hat, können sich die Benutzer*innen authentifizieren, um mithilfe von OIDC auf die Ressourcen Ihres Unternehmens auf GitHub.com zuzugreifen.

Warnung: Die Migration deines Unternehmens von SAML zu OIDC kann bis zu einer Stunde dauern. Während der Migration können Benutzer*innen nicht auf dein Unternehmen auf GitHub.com zugreifen.

  1. Bevor du mit der Migration beginnst, melde dich bei Azure an, und deaktiviere die Bereitstellung in der vorhandenen Anwendung GitHub Enterprise Managed User.

  2. Wenn Sie in Entra ID Richtlinien für den bedingten Zugriff mit einer Netzwerkstandortbedingung verwenden und Sie derzeit eine IP-Zulassungsliste mit Ihrem Unternehmenskonto oder einer der Organisationen verwenden, die zum Unternehmenskonto auf GitHub.com gehören, deaktivieren Sie die IP-Zulassungslisten. Weitere Informationen finden Sie unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen und unter Verwaltung erlaubter IP-Adressen für deine Organisation.

  3. Melde dich auf GitHub.com als Setupbenutzer*in für dein Unternehmen mit dem Benutzernamen @SHORT-CODE_admin an. Ersetze SHORT-CODE dabei durch den Kurzcode deines Unternehmens.

  4. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

  5. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  6. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  7. Wenn du aufgefordert wirst, mit deinem Identitätsanbieter fortzufahren, klicke auf Wiederherstellungscode verwenden, und melde dich mit einem der Wiederherstellungscodes deines Unternehmens an.

    Hinweis: Du musst einen Wiederherstellungscode für dein Unternehmen und nicht für dein Benutzerkonto verwenden. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

  8. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  9. Klicke unten auf der Seite neben „Zu OpenID Connect SSO migrieren“ auf Konfigurieren mit Azure.

  10. Lesen Sie die Warnung, klicken Sie dann auf Verstanden, mit Migration zu OpenID Connect beginnen.

  11. Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Entra ID die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivieren Sie Zustimmung im Namen Ihrer Organisation und klicken SIe dann auf Annehmen.

    Warnung: Sie müssen sich bei Entra ID als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.

  12. Nachdem du die Zustimmung erteilt hast, wird ein neues Browserfenster mit GitHub.com geöffnet, in dem einige neue Wiederherstellungscodes für dein Unternehmen mit verwalteten Benutzer*innen angezeigt werden. Laden Sie die Codes herunter, und klicken Sie dann auf OIDC-Authentifizierung aktivieren.

  13. Warte, bis die Migration abgeschlossen ist, was bis zu einer Stunde dauern kann. Um den Status der Migration zu überprüfen, navigiere zur Seite Authentifizierungssicherheitseinstellungen deines Unternehmens. Wenn „SAML-Authentifizierung erforderlich“ ausgewählt ist, ist die Migration noch im Gange.

    Warnung: Stellen Sie während der Migration keine neuen Benutzer*innen aus der Anwendung in Entra ID bereit.

  14. Während du als Setupbenutzer*in auf GitHub.com angemeldet bist, erstelle in einer neuen Registerkarte oder einem neuen Fenster ein personal access token (classic) mit dem Bereich admin:enterprise und ohne Ablaufdatum, und kopiere es in die Zwischenablage. Weitere Informationen zum Erstellen eines neuen Tokens findest du unter Konfigurieren der SCIM-Bereitstellung für Enterprise Managed Users.

  15. In den Bereitstellungseinstellungen für die Anwendung GitHub Enterprise Managed User (OIDC) im Microsoft Entra Admin Center geben Sie unter „Mandanten-URL“ https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE ein, wobei Sie YOUR_ENTERPRISE durch den Namen Ihres Unternehmenskontos ersetzen.

    Wenn die URL deines Unternehmenskontos beispielsweise https://github.com/enterprises/octo-corp lautet, lautet der Name des Unternehmenskontos octo-corp.

  16. Füge unter „Geheimes Token“ das personal access token (classic) mit dem zuvor erstellten Bereich admin:enterprise ein.

  17. Klicke zum Testen der Konfiguration auf Verbindung testen.

  18. Um deine Änderungen zu speichern, klicke oben im Formular auf Speichern.

  19. Kopieren Sie im Microsoft Entra Admin Center die Benutzer und Gruppen aus der alten GitHub Enterprise Managed User-Anwendung in die neue GitHub Enterprise Managed User (OIDC)-Anwendung.

  20. Teste deine Konfiguration, indem du einen einzelnen neuen Benutzer bereitstellst.

  21. Wenn dein Test erfolgreich ist, starte die Bereitstellung für alle Benutzer durch Klicken auf Bereitstellung starten.