Informationen zur Authentifizierung mit SSO
Das einmalige Anmelden bietet Organisations- und Unternehmensbesitzenden eine Möglichkeit, den Zugriff auf Organisationsressourcen wie Repositorys, Issues und Pull Requests zu steuern und zu schützen. Organisationsbesitzer können dein persönliches Benutzerkonto auf GitHub einladen, ihrer Organisation beizutreten, die SSO verwendet. Das erlaubt dir, zur Organisation beizutragen und deine bestehende Identität und Beiträge auf GitHub zu behalten.
Der Zugriff auf Ressourcen vom Typ internal
, die mit SSO geschützt werden, wie z. B. Repositorys, Projekte und Pakete, erfordert eine SSO-Sitzung für jede Organisation innerhalb des Unternehmens. Auf diese Weise können Code und Arbeit für alle Organisationen in einem Unternehmen freigegeben werden, ohne dass Benutzer den einzelnen Organisationen beitreten müssen.
Wenn du Mitglied eines Unternehmen mit verwalteten Benutzer*innen bist, verwendest du stattdessen ein neues Konto, das für dich bereitgestellt und von deinem Unternehmen gesteuert wird. Weitere Informationen finden Sie unter Arten von GitHub-Konten.
Wenn du auf Ressourcen innerhalb einer Organisation zugreifen möchtest, die SSO verwendet, leitet GitHub dich in den meisten Fällen zur Authentifizierung an den SSO-Identitätsanbieter (IdP) der Organisation weiter. Nachdem du dich erfolgreich mit deinem Konto auf dem IdP authentifiziert hast, leitet dich der IdP zurück zu GitHub, wo du dann auf die Ressourcen der Organisation zugreifen kannst.
Die IdP-Authentifizierung ist nicht erforderlich, wenn auf bestimmte Weise auf öffentliche Repositorys zugegriffen wird:
- Anzeigen der Übersichtsseite und des Dateiinhalts des Repositorys auf GitHub
- Forken des Repositorys
- Ausführen von Lesevorgängen über Git, z. B. das Klonen des Repositorys
Die Authentifizierung ist bei anderen Zugriffsmethoden auf öffentliche Repositorys erforderlich, z. B. für das Anzeigen von Issues, Pull Requests, Projekten und Releases.
Hinweis
Die SSO-Authentifizierung ist für externe Mitarbeitende nicht erforderlich. Weitere Informationen zu externen Projektmitarbeitern findest du unter Rollen in einer Organisation.
Wenn du dich kürzlich mit dem SAML-IdP deiner Organisation in deinem Browser authentifiziert hast, wirst du automatisch autorisiert, wenn du auf eine GitHub-Organisation zugreifst, die SAML SSO verwendet. Wenn du dich nicht kürzlich mit dem SAML-IdP deiner Organisation in deinem Browser authentifiziert hast, musst du dich beim SAML-IdP authentifizieren, bevor du auf die Organisation zugreifen kannst.
Du musst dich regelmäßig bei deinem IdP authentifizieren, um dich zu authentifizieren und Zugang zu den Ressourcen der Organisation auf GitHub zu erhalten. Die Dauer dieses Anmeldezeitraums beträgt 24 Stunden, sofern dein IdP nichts anderes festlegt. Durch diese Verpflichtung zur regelmäßigen Anmeldung wird die Dauer des Zugriffs begrenzt, und Du musst Dich erneut identifizieren, um fortzufahren. Du kannst deine aktiven SSO-Sitzungen in deinen Sicherheitseinstellungen anzeigen und verwalten. Weitere Informationen finden Sie unter Anzeigen und Verwalten deiner aktiven SSO-Sitzungen.
Verknüpfte externe Identitäten
Wenn du dich mit deinem IdP-Konto authentifizierst und zu GitHub zurückkehrst, zeichnet GitHub eine Verknüpfung in der Organisation oder im Unternehmen zwischen deinem persönlichen GitHub-Konto und der externen Identität, bei der du dich angemeldet hast, auf. Diese verknüpfte Identität wird verwendet, um deine Mitgliedschaft in der betreffenden Organisation zu überprüfen und (je nach Organisations- oder Unternehmenssetup) zu bestimmen, bei welchen Organisationen und Teams du ebenfalls Mitglied bist. Jedes GitHub-Konto kann mit genau einer externen Identität pro Organisation verknüpft werden. Ebenso kann jede externe Identität mit genau einem GitHub-Konto in einer Organisation verknüpft werden.
Wenn du dich mit einer externen Identität anmeldest, die bereits mit einem anderen GitHub-Konto verknüpft ist, erhältst du eine Fehlermeldung, die angibt, dass du dich nicht mit dieser Identität anmelden kannst. Diese Situation kann eintreten, wenn du versuchst, ein neues GitHub-Konto zum Arbeiten in deiner Organisation zu verwenden. Wenn du diese externe Identität nicht mit dem betreffenden GitHub-Konto verwenden möchtest, musst du dich von dieser externen Identität abmelden und die SSO-Anmeldung anschließend wiederholen. Wenn du diese externe Identität mit deinem GitHub-Konto verwenden möchtest, musst du deinen Administrator bitten, die Verknüpfung deiner externen Identität mit deinem alten Konto aufzuheben, damit du sie mit deinem neuen Konto verknüpfen kannst. Je nach Setup deiner Organisation oder deines Unternehmens muss dein Administrator möglicherweise auch deine Identität innerhalb deines Identitätsanbieters neu zuweisen. Weitere Informationen finden Sie unter Anzeigen und Verwalten des SAML-Zugriffs eines Mitglieds auf deine Organisation.
Wenn die externe Identität, mit der du dich anmeldest, nicht mit der externen Identität übereinstimmt, die derzeit mit deinem GitHub-Konto verknüpft ist, erhältst du eine Warnung, dass du im Begriff bist, dein Konto neu zu verknüpfen. Da deine externe Identität verwendet wird, um den Zugriff und die Teammitgliedschaft zu steuern, kann das Fortsetzen mit der neuen externen Identität dazu führen, dass du den Zugriff auf Teams und Organisationen innerhalb von GitHub verlierst. Fahre nur fort, wenn du dir sicher bist, dass du in Zukunft diese neue externe Identität für die Authentifizierung verwenden sollst.
Autorisieren von personal access token und SSH-Schlüsseln mit SSO
Um die API oder Git in der Befehlszeile für den Zugriff auf geschützte Inhalte in einer Organisation mit SSO zu verwenden, musst du ein autorisiertes personal access token über HTTPS oder einen autorisierten SSH-Schlüssel verwenden.
Wenn du kein personal access token oder keinen SSH-Schlüssel hast, kannst du ein personal access token für die Befehlszeile erstellen oder einen neuen SSH-Schlüssel generieren. Weitere Informationen findest du unter Verwalten deiner persönlichen Zugriffstoken oder Generieren eines neuen SSH-Schlüssels und Hinzufügen des Schlüssels zum ssh-agent.
Um ein neues oder vorhandenes personal access token oder einen SSH-Schlüssel bei einer Organisation zu verwenden, die SSO verwendet oder erzwingt, musst du das Token oder den SSH-Schlüssel für die Verwendung bei der Organisation autorisieren. Weitere Informationen findest du unter Autorisieren eines persönlichen Zugriffstokens für die Verwendung mit Single Sign-On oder Einen SSH-Schlüssel für die Verwendung mit Single Sign-On autorisieren.
Informationen zu OAuth apps, GitHub Apps und SSO
Jedes Mal, wenn du eine OAuth app oder GitHub App autorisierst, musst du über eine aktive SSO-Sitzung verfügen, um auf eine Organisation zuzugreifen, die SSO verwendet oder erzwingt. Wenn du keine aktive Sitzung für eine Organisation hast, die SSO zur Anmeldung bei der App vorschreibt, kann die App nicht auf diese Organisation zugreifen. Du kannst eine aktive SSO-Sitzung erstellen, indem du in deinem Browser zu https://github.com/orgs/ORGANIZATION-NAME/sso
oder https://github.com/enterprises/ENTERPRISE-NAME/sso
navigierst.
Nachdem ein Unternehmens- oder Organisationsbesitzer SSO für eine Organisation aktiviert oder erzwingt und du dich erstmals über SSO authentifiziert hast, musst du alle OAuth apps oder GitHub Apps, die du zuvor für den Zugriff auf die Organisation autorisiert hast, erneut autorisieren.
Um die OAuth apps anzuzeigen, die du autorisiert hast, besuche deine OAuth apps-Seite. Um die GitHub Apps anzuzeigen, die du autorisiert hast, besuche deine GitHub Apps-Seite.
Weitere Informationen finden Sie unter SAML- und GitHub-Apps.