Configuring SAML single sign-on for your enterprise

You can control and secure access to resources like repositories, issues, and pull requests within your enterprise's organizations by enforcing SAML single sign-on (SSO) through your identity provider (IdP).

Wer kann dieses Feature verwenden?

Enterprise owners can configure SAML SSO for an enterprise on GitHub Enterprise Cloud.

In diesem Artikel

Hinweis: Wenn dein Unternehmen Enterprise Managed Users verwendet, musst du einen anderen Prozess durchführen, um SAML-SSO zu konfigurieren. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen.

About SAML SSO

Einmaliges Anmelden (SSO) von SAML bietet Organisations- und Unternehmensinhabern unter Verwendung von GitHub Enterprise Cloud die Möglichkeit, den Zugriff auf Organisationsressourcen wie Repositorys, Issues oder Pull Requests zu kontrollieren und zu sichern.

Wenn du SAML-SSO konfigurierst, melden sich die Mitglieder deiner Organisation weiterhin bei ihren persönlichen Konten bei GitHub.com an. Wenn ein Mitglied auf Ressourcen deiner Organisation zugreift, wird es in den meisten Fällen von GitHub zur Authentifizierung an deinen IdP umgeleitet. Nach erfolgreicher Authentifizierung leitet dein IdP den Benutzer zurück zu GitHub. Weitere Informationen finden Sie unter Informationen zur Authentifizierung mit SAML Single Sign-On.

Hinweis: SAML SSO ersetzt nicht den normalen Anmeldevorgang für GitHub. Sofern du nicht Enterprise Managed Users verwendest, melden sich Mitglieder weiterhin bei ihren persönlichen Konten auf GitHub.com an, und jedes persönliche Konto wird mit einer externen Identität in deinem IdP verknüpft.

For more information, see "Informationen zur Identitäts- und Zugriffsverwaltung mit SAML-SSO."

Enterprise-Inhaber können SAML SSO und zentralisierte Authentifizierung über einen SAML IdP in allen Organisationen eines Enterprise-Kontos ermöglichen. Nachdem du SAML SSO für dein Unternehmenskonto aktiviert hast, wird SAML SSO für alle Organisationen erzwungen, die zu deinem Unternehmenskonto gehören. Alle Mitglieder müssen sich über SAML SSO authentifizieren, um auf die Organisationen zuzugreifen, bei denen sie Mitglied sind. Enterprise-Inhaber müssen sich über SAML SSO authentifizieren, wenn sie auf ein Enterprise-Konto zugreifen.

Um auf die Ressourcen jeder Organisation auf GitHub Enterprise Cloud zuzugreifen, muss das Mitglied eine aktive SAML-Sitzung in seinem Browser haben. Um über die API und Git auf die geschützten Ressourcen jeder Organisation zugreifen zu können, muss das Mitglied ein personal access token oder einen SSH-Schlüssel verwenden, den das Mitglied für die Verwendung mit der Organisation autorisiert hat. Enterprise-Inhaber können die verknüpfte Identität, die aktiven Sitzungen oder die autorisierten Anmeldeinformationen des Mitglieds jederzeit ansehen und widerrufen. For more information, see "Anzeigen und Verwalten des SAML-Zugriffs von Benutzer*innen auf dein Unternehmen."

Hinweis: Du kannst SCIM nur dann für dein Unternehmenskonto konfigurieren, wenn dein Konto für Enterprise Managed Users erstellt wurde. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Wenn du Enterprise Managed Users nicht verwendest und die SCIM-Bereitstellung verwenden möchtest, musst du SAML SSO auf Organisationsebene konfigurieren, nicht auf Unternehmensebene. Weitere Informationen findest du unter Informationen zur Identitäts- und Zugriffsverwaltung mit SAML-SSO.

Wenn SAML-SSO deaktiviert ist, werden alle verknüpften externen Identitäten aus GitHub Enterprise Cloud entfernt.

Nach dem Aktivieren des einmaligen Anmeldens von SAML müssen OAuth app- und GitHub App-Autorisierungen möglicherweise widerrufen und erneut authentifiziert werden, bevor sie auf die Organisation zugreifen können. Weitere Informationen findest du unter Autorisieren von OAuth-Apps.

Supported identity providers

GitHub Enterprise Cloud unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.

Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:

  • Microsoft Active Directory-Verbunddienste (AD FS)
  • Microsoft Entra ID (früher Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

For more information about connecting Microsoft Entra ID (previously known as Azure AD) to your enterprise, see Tutorial: Microsoft Entra SSO integration with GitHub Enterprise Cloud - Enterprise Account in Microsoft Docs.

Enforcing SAML single-sign on for organizations in your enterprise account

When you enforce SAML SSO for your enterprise, the enterprise configuration will override any existing organization-level SAML configurations. Beim Aktivieren von SAML-SSO für Ihr Unternehmenskonto sind besondere Aspekte zu beachten, wenn eine der Organisationen im Besitz des Unternehmenskontos bereits für die Verwendung von SAML-SSO konfiguriert ist. For more information, see "Wechseln deiner SAML-Konfiguration von einer Organisation zu einem Unternehmenskonto."

When you enforce SAML SSO for an organization, GitHub removes any members of the organization that have not authenticated successfully with your SAML IdP. When you require SAML SSO for your enterprise, GitHub does not remove members of the enterprise that have not authenticated successfully with your SAML IdP. The next time a member accesses the enterprise's resources, the member must authenticate with your SAML IdP.

For more detailed information about how to enable SAML using Okta, see "Konfigurieren des einmaligen Anmeldens mit SAML für dein Unternehmen mithilfe von Okta."

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu Aktuelle Konfigurationen deiner Organisationen anzeigen aus.

    Screenshot einer Richtlinie in den Unternehmenseinstellungen. Ein Link mit der Bezeichnung „Aktuelle Konfigurationen deiner Organisation anzeigen“ ist mit einem orangefarbenen Rahmen hervorgehoben.

  6. Under "SAML single sign-on", select Require SAML authentication.

  7. In the Sign on URL field, type the HTTPS endpoint of your IdP for single sign-on requests. This value is available in your IdP configuration.

  8. Optionally, in the Issuer field, type your SAML issuer URL to verify the authenticity of sent messages.

  9. Under Public Certificate, paste a certificate to verify SAML responses. This is the public key corresponding to the private key used to sign SAML responses.

    To find the certificate, refer to the documentation for your IdP. Some IdPs call this an X.509 certificate.

  10. Klicke unter deinem öffentlichen Zertifikat rechts neben den aktuellen Signatur- und Digestmethoden auf .

    Screenshot der aktuellen Signaturmethode und Digestmethode in den SAML-Einstellungen. Das Stiftsymbol ist mit einem orangefarbenen Umriss hervorgehoben.

  11. Wähle dann in den Dropdownmenüs Signaturmethode und Digestmethode den Hashalgorithmus aus, den dein SAML-Aussteller verwendet.

  12. Before enabling SAML SSO for your enterprise, to ensure that the information you've entered is correct, click Test SAML configuration . Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.

  13. Click Save.

  14. Um sicherzustellen, dass Sie weiterhin unter GitHub.com auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen findest du unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

Further reading