Skip to main content

Konfigurieren von SAML Single Sign-On für dein Unternehmen

Sie können den Zugriff auf Ressourcen wie Repositorys, Issues und Pull Requests in den Organizations Ihrer Enterprise durch das Erzwingen des einmaliges Anmeldens mit SAML (SSO) über Ihren Identitätsanbieter (IdP) verwalten und sichern.

Wer kann dieses Feature verwenden?

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

Hinweis: Wenn dein Unternehmen Enterprise Managed Users verwendet, musst du einen anderen Prozess durchführen, um SAML-SSO zu konfigurieren. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.

Informationen zu SAML SSO

Einmaliges Anmelden (SSO) von SAML bietet Organisations- und Unternehmensinhabern unter Verwendung von GitHub Enterprise Cloud die Möglichkeit, den Zugriff auf Organisationsressourcen wie Repositorys, Issues oder Pull Requests zu kontrollieren und zu sichern.

Wenn du SAML-SSO konfigurierst, melden sich die Mitglieder deiner Organisation weiterhin bei ihren persönlichen Konten bei GitHub.com an. Wenn ein Mitglied auf Ressourcen deiner Organisation zugreift, wird es in den meisten Fällen von GitHub zur Authentifizierung an deinen IdP umgeleitet. Nach erfolgreicher Authentifizierung leitet dein IdP den Benutzer zurück zu GitHub. Weitere Informationen finden Sie unter Informationen zur Authentifizierung mit SAML Single Sign-On.

Hinweis: SAML SSO ersetzt nicht den normalen Anmeldevorgang für GitHub. Sofern du nicht Enterprise Managed Users verwendest, melden sich Mitglieder weiterhin bei ihren persönlichen Konten auf GitHub.com an, und jedes persönliche Konto wird mit einer externen Identität in deinem IdP verknüpft.

Weitere Informationen findest du unter Informationen zur Identitäts- und Zugriffsverwaltung mit SAML-SSO.

Enterprise-Inhaber können SAML SSO und zentralisierte Authentifizierung über einen SAML IdP in allen Organisationen eines Enterprise-Kontos ermöglichen. Nachdem du SAML SSO für dein Unternehmenskonto aktiviert hast, wird SAML SSO für alle Organisationen erzwungen, die zu deinem Unternehmenskonto gehören. Alle Mitglieder müssen sich über SAML SSO authentifizieren, um auf die Organisationen zuzugreifen, bei denen sie Mitglied sind. Enterprise-Inhaber müssen sich über SAML SSO authentifizieren, wenn sie auf ein Enterprise-Konto zugreifen.

Um auf die Ressourcen jeder Organisation auf GitHub Enterprise Cloud zuzugreifen, muss das Mitglied eine aktive SAML-Sitzung in seinem Browser haben. Um über die API und Git auf die geschützten Ressourcen jeder Organisation zugreifen zu können, muss das Mitglied ein personal access token oder einen SSH-Schlüssel verwenden, den das Mitglied für die Verwendung mit der Organisation autorisiert hat. Enterprise-Inhaber können die verknüpfte Identität, die aktiven Sitzungen oder die autorisierten Anmeldeinformationen des Mitglieds jederzeit ansehen und widerrufen. Weitere Informationen findest du unter Anzeigen und Verwalten des SAML-Zugriffs von Benutzer*innen auf dein Unternehmen.

Hinweis: Du kannst SCIM nur dann für dein Unternehmenskonto konfigurieren, wenn dein Konto für Enterprise Managed Users erstellt wurde. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Wenn du Enterprise Managed Users nicht verwendest und die SCIM-Bereitstellung verwenden möchtest, musst du SAML SSO auf Organisationsebene konfigurieren, nicht auf Unternehmensebene. Weitere Informationen findest du unter Informationen zur Identitäts- und Zugriffsverwaltung mit SAML-SSO.

Wenn SAML-SSO deaktiviert ist, werden alle verknüpften externen Identitäten aus GitHub Enterprise Cloud entfernt.

Nach dem Aktivieren des einmaligen Anmeldens von SAML müssen OAuth app- und GitHub App-Autorisierungen möglicherweise widerrufen und erneut authentifiziert werden, bevor sie auf die Organisation zugreifen können. Weitere Informationen findest du unter Autorisieren von OAuth-Apps.

Unterstützte Identitätsanbieter

GitHub Enterprise Cloud unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.

Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:

  • Microsoft Active Directory-Verbunddienste (AD FS)
  • Microsoft Entra ID (früher Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Weitere Informationen zum Verbinden von Microsoft Entra ID (früher bekannt als Azure AD) mit Ihrem Unternehmen finden Sie unter Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra in GitHub Enterprise Cloud – Enterprise-Konto in der Microsoft-Dokumentation.

Erzwingen von SAML Single Sign-On für Organisationen in deinem Unternehmenskonto

Wenn du SAML SSO für dein Unternehmen erzwingst, überschreiben die Unternehmenskonfiguration alle vorhandenen SAML-Konfigurationen auf Organisationsebene. Beim Aktivieren von SAML-SSO für Ihr Unternehmenskonto sind besondere Aspekte zu beachten, wenn eine der Organisationen im Besitz des Unternehmenskontos bereits für die Verwendung von SAML-SSO konfiguriert ist. Weitere Informationen findest du unter Wechseln deiner SAML-Konfiguration von einer Organisation zu einem Unternehmenskonto.

Wenn du SAML SSO für eine Organisation erzwingst, entfernt GitHub alle Mitglieder der Organisationen, die sich nicht erfolgreich bei deinem SAML-IdP authentifiziert haben. Wenn du SAML SSO für dein Unternehmen erzwingst, entfernt GitHub die Unternehmensmitglieder nicht, die sich nicht erfolgreich bei deinem SAML-IdP authentifiziert haben. Beim nächsten Zugriff eines Mitglieds auf die Unternehmensressourcen muss dieses sich bei deinem SAML-IdP authentifizieren.

Ausführliche Informationen zum Aktivieren von SAML (Security Assertion Markup Language) mit Okta findest du unter Konfigurieren des einmaligen Anmeldens mit SAML für dein Unternehmen mithilfe von Okta.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu Aktuelle Konfigurationen deiner Organisationen anzeigen aus.

    Screenshot einer Richtlinie in den Unternehmenseinstellungen. Ein Link mit der Bezeichnung „Aktuelle Konfigurationen deiner Organisation anzeigen“ ist mit einem orangefarbenen Rahmen hervorgehoben.

  6. Wähle unter „SAML Single Sign-On“ die Option SAML-Authentifizierung erzwingen aus.

  7. Gib im Feld Anmelde-URL den HTTPS-Endpunkt deines IdP für SSO-Anforderungen ein. Diesen Wert findest Du in der IdP-Konfiguration.

  8. Optional kannst du im Feld Aussteller deine SAML-Aussteller-URL ein, um die Echtheit gesendeter Nachrichten zu bestätigen.

  9. Füge unter Öffentliches Zertifikat ein Zertifikat ein, um SAML-Antworten zu verifizieren.

  10. Klicke unter deinem öffentlichen Zertifikat rechts neben den aktuellen Signatur- und Digestmethoden auf .

    Screenshot der aktuellen Signaturmethode und Digestmethode in den SAML-Einstellungen. Das Stiftsymbol ist mit einem orangefarbenen Umriss hervorgehoben.

  11. Wähle dann in den Dropdownmenüs Signaturmethode und Digestmethode den Hashalgorithmus aus, den dein SAML-Aussteller verwendet.

  12. Klicke auf SAML-Konfiguration testen, bevor du SAML SSO für dein Unternehmen aktivierst, um dich zu vergewissern, dass die eingegebenen Informationen korrekt sind. Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.

  13. Klicke auf Speichern.

  14. Um sicherzustellen, dass Sie weiterhin unter GitHub.com auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

Weiterführende Themen