Skip to main content

SAML-Authentifizierung

Wenn du SAML Single Sign-On (SSO) verwendest und sich Personen nicht authentifizieren können, um auf GitHub.com zuzugreifen, kannst du das Problem behandeln.

Fehler: „Current time is earlier than NotBefore condition“ (Aktuelle Zeit liegt vor notBefore-Bedingung)

Dieser Fehler kann auftreten, wenn der Zeitunterschiede zwischen deinem IdP und GitHub Enterprise Cloud zu groß ist, was bei selbstgehosteten IdPs häufig vorkommt.

Wenn dieser Fehler auftritt, achte darauf, dass die Zeit auf deinem IdP ordnungsgemäß mit deinem NTP-Server synchronisiert wird.

Wenn du ADFS als IdP verwendest, lege außerdem NotBeforeSkew in ADFS für GitHub auf 1 Minute fest. Wenn NotBeforeSkew auf 0 festgelegt ist, können selbst sehr kleine Zeitunterschiede, einschließlich Millisekunden, Authentifizierungsprobleme verursachen.

Benutzer werden wiederholt zur Authentifizierung umgeleitet

Wenn Benutzer wiederholt in einer Schleife zur SAML-Authentifizierungsaufforderung umgeleitet werden, musst du möglicherweise die SAML-Sitzungsdauer in deinen IdP-Einstellungen erhöhen.

Der in einer SAML-Antwort gesendete SessionNotOnOrAfter-Wert bestimmt, wann ein Benutzer zur Authentifizierung zurück zum IdP umgeleitet wird. Wenn eine SAML-Sitzungsdauer für höchstens 2 Stunden konfiguriert ist, aktualisiert GitHub.com eine SAML-Sitzung 5 Minuten vor Ablauf. Wenn deine Sitzungsdauer für höchstens 5 Minuten konfiguriert ist, können Benutzer in einer SAML-Authentifizierungsschleife hängen bleiben.

Um dieses Problem zu beheben, sollte eine minimale SAML-Sitzungsdauer von 4 Stunden konfiguriert werden. Weitere Informationen findest du unter Referenz zur SAML-Konfiguration.