Hinweis: Die Unterstützung von OpenID Connect (OIDC) und CAP (Richtlinie für bedingten Zugriff) für Enterprise Managed Users ist nur für Azure AD erhältlich.
Informationen zum Migrieren eines Unternehmen mit verwalteten Benutzer*innen von SAML zu OIDC
Wenn dein Unternehmen mit verwalteten Benutzer*innen SAML-SSO zum Authentifizieren bei Azure Active Directory (Azure AD) verwendet, kannst du zu OIDC migrieren. Wenn dein Unternehmen OIDC SSO nutzt, verwendet GitHub automatisch die IP-Bedingungen der Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) deines IdP, um Benutzerinteraktionen mit GitHub zu überprüfen, wenn Mitglieder IP-Adressen ändern oder wenn ein personal access token bzw. ein SSH-Schlüssel verwendet wird.
Bei der Migration von SAML zu OIDC wird dem Anzeigenamen von verwaltete Benutzerkonten und Gruppen, die zuvor für SAML bereitgestellt wurden, aber nicht von der GitHub Enterprise Managed User (OIDC)-Anwendung bereitgestellt werden, der Zusatz „(SAML)“ angehängt.
Wenn Enterprise Managed Users neu für dich ist und du noch keine Authentifizierung für dein Unternehmen konfiguriert hast, musst du nicht migrieren und kannst sofort OIDC Single Sign-On einrichten. Weitere Informationen findest du unter Konfigurieren von OIDC für Enterprise Managed Users.
Voraussetzungen
-
Dein Unternehmen auf GitHub.com muss derzeit für die Verwendung von SAML für die Authentifizierung konfiguriert sein. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.
-
Du musst sowohl auf dein Unternehmen auf GitHub.com als auch auf deinen Mandanten in Azure AD zugreifen, um von SAML zu OIDC zu migrieren.
- Zum Konfigurieren der GitHub Enterprise Managed User (OIDC)-Anwendung in Azure AD musst du dich beim Azure AD-Mandanten als Benutzer*in mit der Rolle „Globaler Administrator“ anmelden.
- Um dich als Setupbenutzer für dein Unternehmen auf GitHub.com anzumelden, musst du eine Wiederherstellungscode für das Unternehmen verwenden. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
-
Planen die Migration für einen Zeitraum, in dem die Ressourcen deines Unternehmens nicht aktiv genutzt werden. Während der Migration können Benutzerinnen erst dann auf das Unternehmen zugreifen, wenn du die GitHub Enterprise Managed User (OIDC)-Anwendung konfiguriert hast und die Anwendung die Benutzerinnen erneut bereitstellt.
Migrieren deines Unternehmens
Um dein Unternehmen von SAML zu OIDC zu migrieren, deaktiviere deine vorhandene GitHub Enterprise Managed User-Anwendung in Azure AD, bereite die Migration als Setupbenutzerin für dein Unternehmen auf GitHub.com vor, starte sie, und konfiguriere dann die neue Anwendung für OIDC in Azure AD. Nachdem die Migration abgeschlossen ist und Azure AD deine Benutzerinnen bereitgestellt hat, können sich die Benutzer*innen authentifizieren, um mithilfe von OIDC auf die Ressourcen deines Unternehmens auf GitHub.com zuzugreifen.
Warnung: Die Migration deines Unternehmens von SAML zu OIDC kann bis zu einer Stunde dauern. Während der Migration können Benutzer*innen nicht auf dein Unternehmen auf GitHub.com zugreifen.
-
Bevor du mit der Migration beginnst, melde dich bei Azure an, und deaktiviere die Bereitstellung in der vorhandenen Anwendung GitHub Enterprise Managed User.
-
Wenn du in Azure AD Richtlinien für den bedingten Zugriff mit einer Netzwerkstandortbedingung verwendest und du derzeit eine IP-Zulassungsliste mit deinem Unternehmenskonto oder einer der Organisationen verwendest, die zum Unternehmenskonto auf GitHub.com gehören, deaktiviere die IP-Zulassungslisten. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen und unter Verwaltung erlaubter IP-Adressen für deine Organisation.
-
Melde dich auf GitHub.com als Setupbenutzer*in für dein Unternehmen mit dem Benutzernamen @SHORT-CODE_admin an. Ersetze SHORT-CODE dabei durch den Kurzcode deines Unternehmens.
-
Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.
-
Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.
-
Klicke auf der Randleiste des Unternehmenskontos auf Einstellungen.
-
Wenn du aufgefordert wirst, mit deinem Identitätsanbieter fortzufahren, klicke auf Wiederherstellungscode verwenden, und melde dich mit einem der Wiederherstellungscodes deines Unternehmens an.
Hinweis: Du musst einen Wiederherstellungscode für dein Unternehmen und nicht für dein Benutzerkonto verwenden. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.
-
Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.
-
Klicke unten auf der Seite neben „Zu OpenID Connect SSO migrieren“ auf Konfigurieren mit Azure.
-
Lies die Warnung, und klicke dann auf „Verstanden, mit Migration zu OpenID Connect beginnen“.
-
Nachdem GitHub Enterprise Cloud dich zu deinem Identitätsanbieter umgeleitet hat, meldest du dich dort an und befolgst dann die Anweisungen, um deine Einwilligung zu erteilen und die GitHub Enterprise Managed User (OIDC)-Anwendung zu installieren. Wenn Azure AD die Berechtigungen für GitHub Enterprise Managed Users mit OIDC anfordert, aktivierst du Zustimmung im Namen Ihrer Organisation und klickst dann auf Annehmen.
Warnung: Du musst dich bei Azure AD als Benutzer mit globalen Administratorrechten anmelden, um in die Installation der GitHub Enterprise Managed User (OIDC)-Anwendung einzuwilligen.
-
Nachdem du die Zustimmung erteilt hast, wird ein neues Browserfenster mit GitHub.com geöffnet, in dem einige neue Wiederherstellungscodes für dein Unternehmen mit verwalteten Benutzer*innen angezeigt werden. Lade die Codes herunter, und klicke dann auf „OIDC-Authentifizierung aktivieren“.
-
Warte, bis die Migration abgeschlossen ist, was bis zu einer Stunde dauern kann. Um den Status der Migration zu überprüfen, navigiere zur Seite Authentifizierungssicherheitseinstellungen deines Unternehmens. Wenn „SAML-Authentifizierung erforderlich“ ausgewählt ist, ist die Migration noch im Gange.
Warnung: Stelle während der Migration keine neuen Benutzer*innen aus der Anwendung in Azure AD bereit.
-
Während du als Setupbenutzer*in auf GitHub.com angemeldet bist, erstelle in einer neuen Registerkarte oder einem neuen Fenster ein personal access token (classic) mit dem Bereich admin:enterprise und ohne Ablaufdatum, und kopiere es in die Zwischenablage. Weitere Informationen zum Erstellen eines neuen Tokens findest du unter Konfigurieren der SCIM-Bereitstellung für Enterprise Managed Users.
-
Gib im Azure-Portal in den Bereitstellungseinstellungen für die GitHub Enterprise Managed User (OIDC)-Anwendung unter „Mandanten-URL“ die URL
https://api.github.com/scim/v2/enterprises/YOUR_ENTERPRISE
ein. Ersetze dabei YOUR_ENTERPRISE durch den Namen deines Unternehmenskontos.Wenn die URL deines Unternehmenskontos beispielsweise
https://github.com/enterprises/octo-corp
lautet, lautet der Name des Unternehmenskontosocto-corp
. -
Füge unter „Geheimes Token“ das personal access token (classic) mit dem zuvor erstellten Bereich admin:enterprise ein.
-
Klicke zum Testen der Konfiguration auf Verbindung testen.
-
Um deine Änderungen zu speichern, klicke oben im Formular auf Speichern.
-
Kopiere im Azure-Portal die Benutzer und Gruppen aus der alten GitHub Enterprise Managed User-Anwendung in die neue GitHub Enterprise Managed User (OIDC)-Anwendung.
-
Teste deine Konfiguration, indem du einen einzelnen neuen Benutzer bereitstellst.
-
Wenn dein Test erfolgreich ist, starte die Bereitstellung für alle Benutzer durch Klicken auf Bereitstellung starten.