Informationen zu SAML SSO
Mit SAML SSO kannst du den Zugriff auf Ihre GitHub Enterprise Server-Instance über deinen SAML-IdP zentral steuern und schützen. Wenn ein nicht authentifizierter Benutzer Ihre GitHub Enterprise Server-Instance in einem Browser besucht, leitet GitHub Enterprise Server ihn zur Authentifizierung an deinen SAML-IdP weiter. Nachdem der Benutzer sich erfolgreich mit einem Konto beim IdP authentifiziert hat, wird er von diesem wieder an Ihre GitHub Enterprise Server-Instance geleitet. GitHub Enterprise Server überprüft die Antwort deines IdP und gewährt dem bzw. der Benutzer*in dann Zugriff.
Nachdem ein Benutzer sich erfolgreich bei deinem IdP authentifiziert hat, ist dessen bzw. deren SAML-Sitzung für Ihre GitHub Enterprise Server-Instance im Browser 24 Stunden lang aktiv. Nach Ablauf der 24 Stunden muss der bzw. die Benutzer*in sich erneut bei deinem IdP authentifizieren.
Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für Ihre GitHub Enterprise Server-Instance manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen findest du unter Benutzer sperren und entsperren.
Unterstützte Identitätsanbieter
GitHub Enterprise Server unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.
Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:
- Microsoft Active Directory-Verbunddienste (AD FS)
- Microsoft Entra ID (früher Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Weitere Informationen zum Verbinden von Entra ID mit Ihrem Unternehmen finden Sie unter Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Microsoft Entra in GitHub Enterprise-Server in der Microsoft-Dokumentation.
Grundlegendes für Benutzernamen bei SAML
GitHub Enterprise Server normalisiert einen Wert Ihres externen Authentifizierungsanbieters, um den Benutzernamen für jedes neue persönliche Konto auf Ihre GitHub Enterprise Server-Instance festzulegen. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung.
Konfigurieren von SAML SSO
Du kannst die SAML-Authentifizierung für Ihre GitHub Enterprise Server-Instance aktivieren oder deaktivieren oder eine vorhandene Konfiguration bearbeiten. Du kannst die Authentifizierungseinstellungen für GitHub Enterprise Server in der Verwaltungskonsole anzeigen und bearbeiten. Weitere Informationen findest du unter Verwalten Ihrer Instanz über die Web-Benutzeroberfläche.
Note
GitHub empfiehlt dringend, alle neuen Konfigurationen im Hinblick auf die Authentifizierung in einer Stagingumgebung zu überprüfen. Eine falsche Konfiguration könnte zu Ausfallzeiten für Ihre GitHub Enterprise Server-Instance führen. Weitere Informationen findest du unter Testinstanz einrichten.
-
Klicke in einem Verwaltungskonto auf GitHub Enterprise Server und dann in der rechten oberen Ecke einer beliebigen Seite auf „“.
-
Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.
-
Wähle auf der Randleiste „ Websiteadministrator“ die Option Verwaltungskonsole aus.
-
Klicke auf der Randleiste unter „Einstellungen“ auf Authentifizierung.
-
Wähle unter „Authentifizierung“ die Option SAML aus.
-
Um optional Personen ohne Konto auf deinem externen Authentifizierungssystem mit integrierter Authentifizierung dien anmelden genehmigen zu können, wähle Integrierte Authentifizierung zulassen aus. Weitere Informationen findest du unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.
-
Wähle optional zum Aktivieren von SSO mit unangeforderter Antwort die Option IdP initiated SSO (IdP-initiiertes einmaliges Anmelden) aus. GitHub Enterprise Server antwortet auf eine von einem Identitätsanbieter (Identity Provider, IdP) initiierte unaufgeforderte Anforderung standardmäßig durch das Zurücksenden einer
AuthnRequest
an den IdP.Tip
Es wird empfohlen, diesen Wert nicht auszuwählen. Du solltest dieses Feature nur dann aktivieren, wenn deine SAML-Implementierung das vom Dienstanbieter initiierte SSO nicht unterstützt und du vom GitHub Enterprise Support dazu angewiesen wirst.
-
Wähle optional Herabstufung des Administrators/Höherstufung zum Administrator deaktivieren aus, wenn du nicht möchtest, dass der SAML-Anbieter Administratorrechte für Benutzer*innen in Ihre GitHub Enterprise Server-Instance festlegt.
-
Wenn du optional zulassen möchtest, dass von Ihre GitHub Enterprise Server-Instance verschlüsselte Assertionen vom SAML-IdP empfangen werden, wähle Verschlüsselte Assertionen erforderlich aus.
Du musst dich vergewissern, dass der IdP verschlüsselte Assertionen unterstützt und dass die Verschlüsselungs- und Schlüsseltransportmethoden in der Verwaltungskonsole den für deinen IdP konfigurierten Werten entsprechen. Du musst dem IdP auch das öffentliche Zertifikat von Ihre GitHub Enterprise Server-Instance bereitstellen. Weitere Informationen findest du unter Aktivieren von verschlüsselten Assertionen.
-
Gib unter „URL für einmaliges Anmelden“ den HTTP- oder HTTPS-Endpunkt für den Identitätsanbieter (IdP) für SSO-Anforderungen (Single Sign-On, einmaliges Anmelden) ein. Dieser Wert wird durch deine IdP-Konfiguration angegeben. Wenn der Host nur über das interne Netzwerk verfügbar ist, musst du möglicherweise Ihre GitHub Enterprise Server-Instance so konfigurieren, dass interne Namenserver verwendet werden.
-
Gib optional im Feld Issuer (Aussteller) den Namen des SAML-Ausstellers ein. Dadurch wird die Authentizität von Nachrichten verifiziert, die an Ihre GitHub Enterprise Server-Instance gesendet werden.
-
Wähle in den Dropdownmenüs Signaturmethode und Hashwertmethode den Hashalgorithmus aus, der vom SAML-Aussteller verwendet wird, um die Integrität der Anforderungen von Ihre GitHub Enterprise Server-Instance zu überprüfen.
-
Wähle im Dropdownmenü Namensbezeichnerformat ein Format aus.
-
Wähle unter „Verifizierungszertifikat“ die Option Datei auswählen und dann ein Zertifikat aus, um SAML-Antworten vom Identitätsanbieter zu überprüfen.
-
Ändere ggf. unter „Benutzerattribute“ die SAML-Attributnamen entsprechend deinem Identitätsanbieter, oder übernimm die Standardnamen.