Skip to main content

Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen

Sie können durch Konfigurieren des einmaligen Anmeldens (Single Sign-On, SSO) mit SAML (Security Assertion Markup Language) den Zugriff auf Ihr Unternehmenskonto auf GitHub automatisch verwalten.

Wer kann dieses Feature verwenden?

Enterprise Managed Users ist für neue Unternehmenskonten auf GitHub Enterprise Cloud verfügbar. Weitere Informationen finden Sie unter „Informationen zu Enterprise Managed Users“.

Bevor Sie die Schritte in diesem Artikel ausführen, müssen Sie sicherstellen, dass in Ihrem Unternehmen verwaltete Benutzer*innen verwendet werden. Überprüfen Sie dazu, ob die Unternehmensansicht im oberen Bildschirmbereich die Kopfleiste „Von KONTONAME verwaltete Benutzerinnen“ enthält. Wenn ja, werden in Ihrem Unternehmen **verwaltete Benutzerinnen** verwendet, und Sie können die Schritte in diesem Artikel ausführen.

Werden in Ihrem Unternehmen persönliche Konten verwendet, müssen Sie einem anderen Prozess zum Konfigurieren von SAML-Single Sign-on folgen. Weitere Informationen finden Sie unter „Konfigurieren von SAML Single Sign-On für dein Unternehmen“.

Informationen zu SAML SSO für Enterprise Managed Users

Mit Enterprise Managed Users muss der Zugriff auf die Ressourcen deines Unternehmens auf GitHub.com oder GHE.com über deinen Identitätsanbieter (IdP) authentifiziert werden. Mitglieder deines Unternehmens melden sich statt mit einem GitHub-Benutzernamen über deinen Identitätsanbieter an.

Nach der Konfiguration von SAML SSO wird empfohlen, die Wiederherstellungscodes zu speichern, damit Sie den Zugriff auf Ihr Unternehmen wiederherstellen können, falls Ihr IdP nicht verfügbar ist.

Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen findest du unter Migrieren von SAML zu OIDC.

Voraussetzungen

  • Befassen Sie sich mit den Integrationsanforderungen und dem Grad der Unterstützung für Ihren Identitätsanbieter.

    • GitHub bietet eine „paved-path“-Integration und volle Unterstützung, wenn Sie einen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.
    • Alternativ können Sie ein beliebiges System oder jede Kombination von Systemen verwenden, die SAML 2.0 und SCIM 2.0 entsprechen. Die Unterstützung für die Lösung von Problemen mit diesen Systemen kann jedoch eingeschränkt sein.

    Ausführlichere Informationen findest du unter Informationen zu Enterprise Managed Users.

  • Ihr IdP muss der SAML 2.0-Spezifikation entsprechen. Siehe das SAML-Wiki auf der OASIS-Website.

  • Sie müssen über Zugriff als Mandantenadministrator auf den Identitätsanbieter verfügen.

  • Wenn Sie SAML-SSO für ein neues Unternehmen konfigurieren, müssen Sie alle vorherigen Schritte bei der Erstkonfiguration ausführen. Weitere Informationen finden Sie unter „Erste Schritte mit Enterprise Managed Users“.

Konfigurieren von SAML-SSO für Enterprise Managed Users

Um SAML SSO für Ihr Unternehmen mit verwalteten Benutzer*innen zu konfigurieren, müssen Sie eine Anwendung auf Ihrem IdP und dann Ihr Unternehmen auf GitHub konfigurieren. Nach der Konfiguration von SAML SSO können Sie die Benutzerbereitstellung konfigurieren.

  1. Konfigurieren Sie Ihren IdP
  2. Konfigurieren Sie Ihr Unternehmen
  3. Aktivieren der Bereitstellung

Konfigurieren Sie Ihren IdP

  1. Klicke auf den Link für deinen Identitätsanbieter und deine Umgebung, um die GitHub Enterprise Managed User zu installieren, wenn du einen Partner-IdP verwendest.

    IdentitätsanbieterApp für GitHub.comApp für GHE.com
    Microsoft Entra IDGitHub Enterprise Managed UserGitHub Enterprise Managed User
    OktaGitHub Enterprise Managed UserGitHub Enterprise Managed User – ghe.com
    PingFederatePingFederate-Downloadwebsite Navigiere zur Registerkarte Add-ons, und wähle dann GitHub EMU Connector 1.0 aus.PingFederate-Downloadwebsite Navigiere zur Registerkarte Add-ons, und wähle dann GitHub EMU Connector 1.0 aus.
  2. Lies die relevante Dokumentation zu deinem Identitätsanbieter und deiner Umgebung, um SAML-SSO für Enterprise Managed Users auf einem Partner-IdP zu konfigurieren.

    IdentitätsanbieterDokumentation für GitHub.comDokumentation für GHE.com
    Microsoft Entra IDMicrosoft LearnMicrosoft Learn
    OktaKonfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innenKonfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innen
    PingFederateKonfigurieren von Authentifizierung und Bereitstellung mit PingFederate (Abschnitte „Voraussetzungen“ und „1. Konfigurieren von SAML“)Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate (Abschnitte „Voraussetzungen“ und „1. Konfigurieren von SAML“)

    Wenn du keinen Partner-IdP verwendest, kannst du alternativ die Referenz zur SAML-Konfiguration für GitHub Enterprise Cloud nutzen, um eine generische SAML 2.0-Anwendung auf deinem Identitätsanbieter zu erstellen und zu konfigurieren. Weitere Informationen finden Sie unter „Referenz zur SAML-Konfiguration“.

  3. Um Ihr Unternehmen zu testen und zu konfigurieren, weisen Sie sich selbst oder den Benutzer, der SAML SSO für Ihr Unternehmen konfigurieren wird, auf GitHub der Anwendung zu, die Sie für Enterprise Managed Users auf Ihrem IdP konfiguriert haben.

    Note

    Um nach der Konfiguration eine erfolgreiche Authentifizierungsverbindung zu testen, muss dem IdP mindestens ein Benutzer zugewiesen werden.

  4. Um die Konfiguration Ihres Unternehmens auf GitHub fortzusetzen, suchen Sie die folgenden Informationen in der Anwendung, die Sie auf Ihrem IdP installiert haben, und notieren Sie sie.

    WertAndere NamenBESCHREIBUNG
    Anmelde-URL des IdPAnmelde-URL, IdP-URLAnwendungs-URL bei deinem IdP
    Bezeichner-URL des IdPIssuer (Aussteller)Bezeichner des IdP für Dienstanbieter für die SAML-Authentifizierung
    Signaturzertifikat, Base64-codiertÖffentliches ZertifikatÖffentliches Zertifikat, das der IdP zum Signieren von Authentifizierungsanforderungen verwendet

Konfigurieren Sie Ihr Unternehmen

Nachdem Sie SAML SSO für Enterprise Managed Users auf Ihrem IdP konfiguriert haben, können Sie Ihr Unternehmen auf GitHub konfigurieren.

Nach der anfänglichen Konfiguration von SAML SSO ist die einzige Einstellung, die Sie auf GitHub für Ihre bestehende SAML-Konfiguration aktualisieren können, das SAML-Zertifikat. Wenn Sie die Anmelde-URL oder die Aussteller-URL aktualisieren müssen, müssen Sie zuerst SAML SSO deaktivieren und dann SAML SSO mit den neuen Einstellungen erneut konfigurieren. Weitere Informationen findest du unter Deaktivieren der Authentifizierung und Bereitstellung für Enterprise Managed Users.

  1. Melde dich als Setupbenutzer für dein Unternehmen mit dem Benutzernamen SHORT-CODE_admin an, und ersetze SHORT-CODE durch den Kurzcode deines Unternehmens.

    Note

    Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Supportportal an den GitHub-Support. Die übliche Option für die Kennwortzurücksetzung (E-Mail-Adresse angeben) funktioniert nicht.

  2. Klicke in der oberen rechten Ecke von GitHub auf dein Profilfoto und dann auf Dein Unternehmen.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Wählen Sie unter „SAML Single Sign-On“ die Option SAML-Authentifizierung erzwingen aus.

  6. Geben Sie unter Anmelde-URL den HTTPS-Endpunkt Ihres IdP für SSO-Anfragen ein, den Sie bei der Konfiguration Ihres IdP notiert haben.

  7. Geben Sie unter Aussteller die SAML-Aussteller-URL ein, die Sie bei der Konfiguration des IdP notiert haben, um die Authentizität gesendeter Nachrichten zu überprüfen.

  8. Füge unter Öffentliches Zertifikat das Zertifikat ein, das du dir bei der Konfiguration des IdP notiert hast, um SAML-Antworten zu überprüfen.

  9. Klicke unter deinem öffentlichen Zertifikat rechts neben den aktuellen Signatur- und Digestmethoden auf .

    Screenshot der aktuellen Signaturmethode und Digestmethode in den SAML-Einstellungen. Das Stiftsymbol ist mit einem orangefarbenen Umriss hervorgehoben.

  10. Wähle dann in den Dropdownmenüs Signaturmethode und Digestmethode den Hashalgorithmus aus, den dein SAML-Aussteller verwendet.

  11. Klicke auf SAML-Konfiguration testen, bevor du SAML SSO für dein Unternehmen aktivierst, um dich zu vergewissern, dass die eingegebenen Informationen korrekt sind. Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.

  12. Klicken Sie auf Speichern.

    Note

    Nachdem du SAML SSO für dein Unternehmen aktiviert und die SAML-Einstellungen gespeichert hast, hat der eingerichtete Benutzer weiterhin Zugriff auf das Unternehmen und bleibt bei GitHub angemeldet, ebenso wie die verwaltete Benutzerkonten, die von deinem IdP bereitgestellt werden und ebenfalls Zugriff auf das Unternehmen haben.

  13. Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

Aktivieren der Bereitstellung

Nach der SAML SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.

Aktivieren von Gast-Projektmitarbeiter*innen

Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.

Wenn Sie Entra ID oder Okta für die SAML-Authentifizierung verwenden, müssen Sie Ihre IdP-Anwendung möglicherweise aktualisieren, um Gast-Projektmitarbeiter zu verwenden. Weitere Informationen findest du unter Aktivieren von Gast-Projektmitarbeitern.