Skip to main content

Migrieren von SAML zu OIDC

Wenn du SAML zum Authentifizieren von Mitgliedern in deinem enterprise with managed users verwendest, kannst du zu OpenID Connect (OIDC) migrieren und von der Unterstützung der Richtlinie für bedingten Zugriff deines Identitätsanbieters profitieren.

Um Benutzer in deinem Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein, die in GitHub Enterprise Cloud verfügbar sind. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Azure AD erhältlich.

Informationen zum Migrieren deines enterprise with managed users von SAML zu OIDC

Wenn dein enterprise with managed users SAML-SSO zum Authentifizieren bei Azure Active Directory (Azure AD) verwendet, kannst du zu OIDC migrieren. Wenn dein Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern oder wenn ein personal access token bzw. ein SSH-Schlüssel verwendet wird.

Bei der Migration von SAML zu OIDC wird dem Anzeigenamen von managed user accounts und Gruppen, die zuvor für SAML bereitgestellt wurden, aber nicht von der GitHub Enterprise Managed User (OIDC)-Anwendung bereitgestellt werden, der Zusatz „(SAML)“ angehängt.

Wenn Enterprise Managed Users neu für dich ist und du noch keine Authentifizierung für dein Unternehmen konfiguriert hast, musst du nicht migrieren und kannst sofort OIDC Single Sign-On einrichten. Weitere Informationen findest du unter Konfigurieren von OIDC für Enterprise Managed Users.

Migrieren deines Unternehmens

Hinweis: Um dich als Setupbenutzer anzumelden, benötigst du einen Wiederherstellungscode. Wenn du noch nicht über deine Wiederherstellungscodes verfügst, kannst du auf die Codes zugreifen, während du als Unternehmensbesitzer angemeldet bist. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

  1. Bevor du mit der Migration beginnst, melde dich bei Azure an, und deaktiviere die Bereitstellung in der vorhandenen Anwendung GitHub Enterprise Managed User.

  2. Wenn du in Azure AD Richtlinien für den bedingten Zugriff mit einer Netzwerkstandortbedingung verwendest und du derzeit eine IP-Zulassungsliste mit deinem Unternehmenskonto oder einer der Organisationen verwendest, die zum Unternehmenskonto auf GitHub.com gehören, deaktiviere die IP-Zulassungslisten. Weitere Informationen findest du unter Sicherheitseinstellungen in deinem Unternehmen und Verwalten zulässiger IP-Adressen für dein Unternehmen.

  3. Melde dich auf GitHub.com als Setupbenutzer für dein Unternehmen mit dem Benutzernamen @KURZCODE_admin an.

  4. Wenn du aufgefordert wirst, mit deinem Identitätsanbieter fortzufahren, klicke auf Wiederherstellungscode verwenden, und melde dich mit einem der Wiederherstellungscodes deines Unternehmens an.

  5. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen. „Deine Unternehmen“ im Dropdownmenü für das Profilfoto auf GitHub Enterprise Cloud

  6. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest. Name eines Unternehmens in der Liste deiner Unternehmen

  7. Klicke in der Randleiste des Unternehmenskontos auf Einstellungen. Registerkarte „Einstellungen“ in der Randleiste des Unternehmenskontos

  8. Klicke in der linken Seitenleiste auf Authentifizierungssicherheit. Registerkarte „Sicherheit“ auf der Randleiste mit den Unternehmenskontoeinstellungen

  9. Klicke unten auf der Seite neben „Zu OpenID Connect SSO migrieren“ auf Konfigurieren mit Azure.

    Warnung: Die Migration kann bis zu einer Stunde dauern, und es ist wichtig, dass während der Migration keine Benutzer bereitgestellt werden. Du kannst überprüfen, ob die Migration noch ausgeführt wird, indem du zur Seite mit den Sicherheitseinstellungen deines Unternehmens zurückkehrst. Wenn die Option „SAML-Authentifizierung erforderlich“ noch aktiviert ist, wird die Migration noch ausgeführt.

    Screenshot der Schaltfläche „Konfigurieren mit Azure“

  10. Lies beide Warnungen, und klicke, um fortzufahren.

  11. Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Azure AD die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivierst du Zustimmung im Namen Ihrer Organisation und klickst dann auf Annehmen.

    Warnung: Du musst dich bei Azure AD als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.

  12. Während du als Setupbenutzer*in auf GitHub.com angemeldet bist, erstelle in einer neuen Registerkarte oder einem neuen Fenster ein personal access token (classic) mit dem Bereich admin:enterprise und ohne Ablaufdatum, und kopiere es in die Zwischenablage. Weitere Informationen zum Erstellen eines neuen Tokens findest du unter Erstellen eines personal access token.

  13. Gib im Azure-Portal in den Einstellungen für die GitHub Enterprise Managed User (OIDC)-Anwendung unter „Mandanten-URL“ https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE ein, um YOUR_ENTERPRISE durch den Namen deines Unternehmenskontos zu ersetzen.

    Wenn die URL deines Unternehmenskontos beispielsweise https://github.com/enterprises/octo-corp lautet, lautet der Name des Unternehmenskontos octo-corp.

  14. Füge unter „Geheimes Token“ das personal access token (classic) mit dem zuvor erstellten Bereich admin:enterprise ein.

  15. Klicke zum Testen der Konfiguration auf Verbindung testen.

  16. Um deine Änderungen zu speichern, klicke oben im Formular auf Speichern.

  17. Kopiere im Azure-Portal die Benutzer und Gruppen aus der alten GitHub Enterprise Managed User-Anwendung in die neue GitHub Enterprise Managed User (OIDC)-Anwendung.

  18. Teste deine Konfiguration, indem du einen einzelnen neuen Benutzer bereitstellst.

  19. Wenn dein Test erfolgreich ist, starte die Bereitstellung für alle Benutzer durch Klicken auf Bereitstellung starten.