Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Azure AD erhältlich.
Informationen zum Migrieren deines enterprise with managed users von SAML zu OIDC
Wenn dein enterprise with managed users SAML-SSO zum Authentifizieren bei Azure Active Directory (Azure AD) verwendet, kannst du zu OIDC migrieren. Wenn dein Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern oder wenn ein personal access token bzw. ein SSH-Schlüssel verwendet wird.
Bei der Migration von SAML zu OIDC wird dem Anzeigenamen von managed user accounts und Gruppen, die zuvor für SAML bereitgestellt wurden, aber nicht von der GitHub Enterprise Managed User (OIDC)-Anwendung bereitgestellt werden, der Zusatz „(SAML)“ angehängt.
Wenn Enterprise Managed Users neu für dich ist und du noch keine Authentifizierung für dein Unternehmen konfiguriert hast, musst du nicht migrieren und kannst sofort OIDC Single Sign-On einrichten. Weitere Informationen findest du unter Konfigurieren von OIDC für Enterprise Managed Users.
Migrieren deines Unternehmens
Hinweis: Um dich als Setupbenutzer anzumelden, benötigst du einen Wiederherstellungscode. Wenn du noch nicht über deine Wiederherstellungscodes verfügst, kannst du auf die Codes zugreifen, während du als Unternehmensbesitzer angemeldet bist. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
-
Bevor du mit der Migration beginnst, melde dich bei Azure an, und deaktiviere die Bereitstellung in der vorhandenen Anwendung GitHub Enterprise Managed User.
-
Wenn du in Azure AD Richtlinien für den bedingten Zugriff mit einer Netzwerkstandortbedingung verwendest und du derzeit eine IP-Zulassungsliste mit deinem Unternehmenskonto oder einer der Organisationen verwendest, die zum Unternehmenskonto auf GitHub.com gehören, deaktiviere die IP-Zulassungslisten. Weitere Informationen findest du unter Sicherheitseinstellungen in deinem Unternehmen und Verwalten zulässiger IP-Adressen für dein Unternehmen.
-
Melde dich auf GitHub.com als Setupbenutzer für dein Unternehmen mit dem Benutzernamen @KURZCODE_admin an.
-
Wenn du aufgefordert wirst, mit deinem Identitätsanbieter fortzufahren, klicke auf Wiederherstellungscode verwenden, und melde dich mit einem der Wiederherstellungscodes deines Unternehmens an.
-
Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.
-
Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.
-
Klicke in der Randleiste des Unternehmenskontos auf Einstellungen.
-
Klicke in der linken Seitenleiste auf Authentifizierungssicherheit.
-
Klicke unten auf der Seite neben „Zu OpenID Connect SSO migrieren“ auf Konfigurieren mit Azure.
Warnung: Die Migration kann bis zu einer Stunde dauern, und es ist wichtig, dass während der Migration keine Benutzer bereitgestellt werden. Du kannst überprüfen, ob die Migration noch ausgeführt wird, indem du zur Seite mit den Sicherheitseinstellungen deines Unternehmens zurückkehrst. Wenn die Option „SAML-Authentifizierung erforderlich“ noch aktiviert ist, wird die Migration noch ausgeführt.
-
Lies beide Warnungen, und klicke, um fortzufahren.
-
Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Azure AD die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivierst du Zustimmung im Namen Ihrer Organisation und klickst dann auf Annehmen.
Warnung: Du musst dich bei Azure AD als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.
-
Während du als Setupbenutzer*in auf GitHub.com angemeldet bist, erstelle in einer neuen Registerkarte oder einem neuen Fenster ein personal access token (classic) mit dem Bereich admin:enterprise und ohne Ablaufdatum, und kopiere es in die Zwischenablage. Weitere Informationen zum Erstellen eines neuen Tokens findest du unter Erstellen eines personal access token.
-
Gib im Azure-Portal in den Einstellungen für die GitHub Enterprise Managed User (OIDC)-Anwendung unter „Mandanten-URL“
https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE
ein, um YOUR_ENTERPRISE durch den Namen deines Unternehmenskontos zu ersetzen.Wenn die URL deines Unternehmenskontos beispielsweise
https://github.com/enterprises/octo-corp
lautet, lautet der Name des Unternehmenskontosocto-corp
. -
Füge unter „Geheimes Token“ das personal access token (classic) mit dem zuvor erstellten Bereich admin:enterprise ein.
-
Klicke zum Testen der Konfiguration auf Verbindung testen.
-
Um deine Änderungen zu speichern, klicke oben im Formular auf Speichern.
-
Kopiere im Azure-Portal die Benutzer und Gruppen aus der alten GitHub Enterprise Managed User-Anwendung in die neue GitHub Enterprise Managed User (OIDC)-Anwendung.
-
Teste deine Konfiguration, indem du einen einzelnen neuen Benutzer bereitstellst.
-
Wenn dein Test erfolgreich ist, starte die Bereitstellung für alle Benutzer durch Klicken auf Bereitstellung starten.