Problembehandlung bei der Identitäts- und Zugriffsverwaltung deines Unternehmens

Überprüfen Sie häufige Probleme und Lösungen bei der Identitäts- und Zugriffsverwaltung Ihres Unternehmens.

In diesem Artikel

Anzeigen External Identities-Informationen für einen Benutzer

Wenn ein Benutzer die SAML-Authentifizierung nicht erfolgreich authentifizieren kann, kann es hilfreich sein, Informationen zur Single Sign-On-Identität anzuzeigen, die mit dem Konto des Benutzers verknüpft ist, auf GitHub. Weitere Informationen finden Sie unter Anzeigen und Verwalten des SAML-Zugriffs von Benutzer*innen auf dein Unternehmen.

Benutzernamenkonflikte

Wenn dein Unternehmen Enterprise Managed Users verwendet, normalisiert GitHub den vom Identitätsanbieter (IdP) in einem SCIM-API-Aufruf gesendeten SCIM-Attributwert userName, um die Benutzernamen aller Personen auf GitHub zu erstellen. Wenn mehrere Konten zum selben Benutzernamen auf GitHub normalisiert werden, ergibt sich ein Benutzernamenkonflikt, und nur das erste Benutzerkonto wird erstellt. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Fehler beim Wechseln von Authentifizierungskonfigurationen

Wenn beim Wechseln zwischen verschiedenen Authentifizierungskonfigurationen Probleme auftreten, z. B. wenn du deine SAML-SSO-Konfiguration von einer Organisation zu einem Enterprise-Konto änderst oder für Enterprise Managed Users von SAML zu OIDC migrierst, stelle sicher, dass du die bewährten Methoden anwendest.

Zugreifen auf dein Unternehmen, wenn SSO nicht verfügbar ist

Wenn ein Konfigurationsfehler oder ein Problem mit deinem Identitätsanbieter (IdP) das Verwenden von SSO verhindert, kannst du einen Wiederherstellungscode zum Zugreifen auf dein Unternehmen verwenden. Weitere Informationen finden Sie unter Zugriff auf dein Unternehmenskonto, wenn dein Identitätsanbieter nicht verfügbar ist.

SCIM-Bereitstellungsfehler

Weise der SCIM-Integration bei deinem Identitätsanbieter maximal 1.000 Benutzerkonten pro Stunde zu, um eine Überschreitung der Ratenbegrenzung für GitHub zu vermeiden. Wenn du Gruppen verwendest, um der Identitätsanbieteranwendung Benutzerinnen hinzuzufügen, füge den einzelnen Gruppen jeweils maximal 1,000 Benutzerinnen pro Stunde hinzu. Bei Überschreitung dieser Schwellenwerte tritt bei der Benutzerbereitstellung möglicherweise ein Ratenlimitfehler auf, und die Bereitstellung ist nicht erfolgreich. Du kannst deine IdP-Protokolle überprüfen, um zu bestätigen, ob versuchte SCIM-Bereitstellungen oder Pushvorgänge aufgrund eines Fehlers bei der Ratenbegrenzung fehlgeschlagen sind. Die Antwort auf einen fehlgeschlagenen Bereitstellungsversuch hängt vom IdP ab.

Microsoft Entra ID (früher bekannt als Azure AD) wird die SCIM-Bereitstellungsversuche während des nächsten Entra ID-Synchronisierungszyklus automatisch wiederholen. Das SCIM-Standardbereitstellungsintervall für Entra ID beträgt 40 Minuten. Weitere Informationen zu diesem Wiederholungsverhalten finden Sie in der Microsoft-Dokumentation. Wenn Sie zusätzliche Unterstützung benötigen, wenden Sie sich an den Microsoft-Support.

Okta wiederholt fehlerhafte SCIM-Bereitstellungsversuche durch manuellen Okta-Administratoreingriff. Weitere Informationen darüber, wie ein Okta-Administrator eine fehlgeschlagene Aufgabe für eine bestimmte Anwendung wiederholen kann, finden Sie in der Okta-Dokumentation oder kontaktieren Sie den Okta-Support.

In einem Unternehmen mit verwalteten Benutzer*innen, in dem SCIM im Allgemeinen ordnungsgemäß funktioniert, schlagen die SCIM-Bereitstellungsversuche einzelner Benutzer manchmal fehl. Benutzer können sich erst anmelden, wenn ihr Konto für GitHub bereitgestellt wird. Diese einzelnen SCIM-Benutzerbereitstellungsfehler führen zu einem HTTP 400-Statuscode und werden in der Regel durch Probleme mit der Normalisierung von Benutzernamen oder Benutzernamenkonflikten verursacht, wobei ein anderer Benutzer mit demselben normalisierten Benutzernamen bereits im Unternehmen vorhanden ist. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

SAML-Authentifizierungsfehler

Falls Fehler auftreten, wenn Benutzer sich mit SAML authentifizieren möchten, findest du weitere Informationen unter SAML-Authentifizierung.

Fehler bei in Konflikt stehenden SAML-Identitäten

Wenn Benutzende versuchen, sich zum ersten Mal beim SAML-Identitätsanbieter (Identity Provider, IdP) für den Zugriff auf eine GitHub-Organisation oder ein GitHub-Unternehmen zu authentifizieren, wird möglicherweise die folgende Fehlermeldung angezeigt.

Your GitHub user account [GitHub-Benutzername] is currently unlinked. However, you are attempting to authenticate with your Identity Provider using [Benutzerkonto des Identitätsanbieters] SAML identity which is already linked to a different GitHub user account in the [Organisation/Unternehmen]. Please reach out to one of your GitHub [Organisation/Unternehmen] owners for assistance.

Wenn es sich bei dem Identitätsanbieter um Entra ID handelt, enthält die Fehlermeldung das User Object ID-Element der verknüpften Identität in Entra ID, die von GitHub als External ID bezeichnet wird.

Diese Fehlermeldung tritt auf, weil eine externe Identität in einer Organisation oder einem Unternehmen nur mit einem einzelnen GitHub-Benutzerkonto verknüpft werden kann.

Identifizieren des Benutzers mit einer im Konflikt stehenden Identität

Wenn Benutzende dich mit diesem Fehler kontaktieren, kannst du die folgenden Schritte ausführen, um die in Konflikt stehenden Konten zu ermitteln.

  1. Verwende die GitHub GraphQL-API, um zu bestimmen, welcher Benutzer mit der in Konflikt stehenden externen Identität verknüpft ist.
    • Wenn SAML auf GitHub-Organisationsebene konfiguriert ist: Ein Organisationsbesitzender muss die vorhandenen externen Identitäten auf Organisationsebene abfragen und diese nach dem SAML-NameID-Element des Identitätsanbieterkontos filtern, mit dem der Benutzer authentifiziert wird, wenn dieser Fehler auftritt. Im Repository platform-samples ist das Beispiel org-saml-identities-filtered-by-nameid-username.graphql enthalten.
    • Wenn SAML auf GitHub-Unternehmensebene konfiguriert ist: Ein Unternehmensbesitzender muss die vorhandenen externen Identitäten auf Unternehmensebene abfragen und diese nach dem SAML-NameID-Element des Identitätsanbieterkontos filtern, mit dem der Benutzer authentifiziert wird, wenn dieser Fehler auftritt. Im Repository platform-samples ist das Beispiel enterprise-saml-identities-filtered-by-nameid.graphql enthalten.
  2. Um zu überprüfen, ob der Benutzer noch im Unternehmen und allen darin enthaltenen Organisationen aktiv ist, kann ein Unternehmensbesitzender die Schritte in Anzeigen von Personen in deinem Unternehmen ausführen, wenn du einen GitHub-Benutzer ermittelt hast, der der im Konflikt stehenden externen Identität zugeordnet ist.

Beheben des Konflikts

Wenn du die Schritte zum Identifizieren in Konflikt stehender Konten befolgt hast, bestehen je nach Ergebnis verschiedene Möglichkeiten zur Lösung. Wenn beim Versuch, diese Schritte auszuführen, Probleme auftreten oder Fragen vorliegen, kannst du mit dem GitHub-Supportportalein GitHub-Supportticket erstellen.

Im Konflikt stehender GitHub-Benutzer benötigt keinen Zugriff mehr

Wenn ein GitHub-Benutzerkonto der im Konflikt stehenden externen Identität zugeordnet ist, die auf die GitHub-Organisation oder das GitHub-Unternehmen keinen Zugriff mehr benötigt, entferne es als Mitglied. Wenn der Benutzer ordnungsgemäß entfernt wird, sollten dadurch ebenfalls seine verknüpfte SAML- und SCIM-Identität entfernt werden, sofern diese auf Organisationsebene vorhanden sind.

  • Wenn du die Organisationsmitgliedschaft mit SCIM-Bereitstellung verwaltest, musst du den Benutzer von deinem Identitätsanbieter über SCIM entfernen, anstatt die Schritte auf GitHub auszuführen. Andernfalls verbleibt die verknüpfte SAML- und SCIM-Identität des Benutzers in der Organisation, wodurch der Fehler weiterhin auftreten kann.
  • Weitere Informationen zum Verwalten der Organisationsmitgliedschaft ohne SCIM-Bereitstellung findest du unter Entfernen eines Mitglieds aus deiner Organisation oder Entfernen eines Mitglieds aus deinem Unternehmen. Stelle sicher, dass du in deinem Identitätsanbieter außerdem den Zugriff des Benutzers über die GitHub-App für die Organisation oder das Unternehmen entfernst.

Weitere Informationen zum Überprüfen, ob eine SAML- oder SCIM-Identität erfolgreich aus einer GitHub-Organisation für einen Benutzer entfernt wurde, findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation.

Im Konflikt stehender GitHub-Benutzer benötigt weiterhin Zugriff

Wenn ein GitHub-Benutzerkonto mit der im Konflikt stehenden externen Identität verknüpft ist und dieser Benutzer für die Organisation oder das Unternehmen weiterhin Zugriff benötigt, musst du für Folgendes die verknüpfte Identität ändern: das Benutzerkonto oder den Benutzer mit dem Fehler zum Authentifizieren mit einer anderen Identitätsanbieteridentität.

  • Wenn du die Mitgliedschaft einer Organisation mit SCIM-Bereitstellung verwaltest und die externe Identität ändern musst, die mit dem GitHub-Konto des Mitglieds verknüpft ist, entferne den Benutzer von deinem Identitätsanbieter, und füge ihn anschließend wieder hinzu (z. B. Zuweisung des Benutzers aufheben und den Benutzer der App erneut zuweisen).
    • Wenn der Identitätsanbieterbenutzer entfernt wird, wird sein GitHub-Konto und die verknüpfte SAML- bzw. SCIM-Identität aus der GitHub-Organisation entfernt.
    • Wenn der Identitätsanbieterbenutzer der GitHub-Organisation neu hinzugefügt wird, wird eine neue ausstehende Organisationseinladung und eine neue, nicht verknüpfte SCIM-Identität erstellt. Dadurch kann sich die Benutzenden mit diesem GitHub-Benutzerkonto anmelden, sich über SAML authentifizieren und die neue Identitätsanbieteridentität mit dem Konto verknüpfen. Mit diesen Schritten wird sichergestellt, dass die neue SAML- und SCIM-Identität in der Organisation ordnungsgemäß mit dem GitHub-Benutzerkonto verknüpft sind.
  • Wenn du die Organisationsmitgliedschaft ohne SCIM-Bereitstellung verwaltest oder SAML auf Unternehmensebene konfiguriert ist, kannst du die verknüpfte externe Identität für den Benutzer widerrufen, indem du die Schritte in einem der folgenden Artikel ausführst:

Kein im Konflikt stehender GitHub-Benutzer gefunden

Wenn der im Konflikt stehenden externen Identität kein GitHub-Benutzerkonto zugeordnet ist, kannst du die externe Identität widerrufen.

  • Wenn du die Mitgliedschaft der Organisation ohne SCIM-Bereitstellung verwaltest, entferne die veraltete, nicht verknüpfte Identität von deinem Identitätsanbieter (z. B. Zuweisung des Benutzers in der Identitätsanbieter-App aufheben).
    • Wenn der Identitätsanbieter den entsprechenden SCIM-API-Aufruf nicht an GitHub sendet, verbleibt die Identität in der Organisation, wodurch der Fehler weiterhin auftreten kann.
    • Weitere Informationen zum Überprüfen, ob eine SAML- oder SCIM-Identität erfolgreich aus einer GitHub-Organisation für einen Benutzer entfernt wurde, findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation.
  • Wenn du die Mitgliedschaft in der Organisation ohne SCIM-Bereitstellung verwaltest, navigiere zum Widerrufen der verknüpften externen Identität zu einer der folgenden URLs, um die externe Identität zu widerrufen. Ersetze USERNAME durch den GitHub-Benutzernamen der Benutzenden, die sich nicht anmelden können, und ORGANIZATION oder ENTERPRISE durch den entsprechenden Wert.
    • https://github.com/orgs/ORGANIZATION/people/USERNAME/sso
    • https://github.com/enterprises/ENTERPRISE/people/USERNAME/sso

Weiterführende Themen