Informationen zum SAML SSO für dein Unternehmen
Mithilfe von SAML-SSO können sich Personen über ein externes System für die Identitätsverwaltung in Ihre GitHub Enterprise Server-Instance authentifizieren und darauf zugreifen.
SAML ist ein XML-basierter Standard für die Authentifizierung und Autorisierung. Wenn du SAML für Ihre GitHub Enterprise Server-Instance konfigurierst, wird das externe System für die Authentifizierung als Identitätsanbieter (Identity Provider, IdP) bezeichnet. Deine Instanz fungiert als SAML-Dienstanbieter (Service Provider, SP). Weitere Informationen zum SAML-Standard findest du auf Wikipedia unter Security Assertion Markup Language.
Hinweis: Du kannst entweder SAML oder LDAP verwenden, aber nicht beide Optionen.
Bei Verwendung von SAML oder CAS wird die Zwei-Faktor-Authentifizierung in der GitHub Enterprise Server-Instanz weder unterstützt noch verwaltet, jedoch möglicherweise vom externen Authentifizierungsanbieter unterstützt. Die Erzwingung der Zwei-Faktor-Authentifizierung für Organisationen ist nicht verfügbar. Weitere Informationen zum Erzwingen der Zwei-Faktor-Authentifizierung für Organisationen findest du unter Erfordern der zweistufigen Authentifizierung in deiner Organisation.
Nachdem du SAML konfiguriert hast, müssen Personen, die Ihre GitHub Enterprise Server-Instance nutzen, ein personal access token für die Authentifizierung von API-Anforderungen verwenden. Weitere Informationen findest du unter Verwalten deiner persönlichen Zugriffstoken.
Wenn du die Authentifizierung für einige Personen zulassen möchtest, die kein Konto bei deinem externen Authentifizierungsanbieter haben, kannst du die Fallbackauthentifizierung für lokale Konten auf Ihre GitHub Enterprise Server-Instance zulassen. Weitere Informationen findest du unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.
Weitere Informationen zur Konfiguration von SAML SSO auf GitHub Actions finden Sie unter „Konfigurieren von SAML Single Sign-On für dein Unternehmen“.
Informationen zum Erstellen von Benutzerkonten
Standardmäßig kommuniziert dein Identitätsanbieter nicht automatisch mit GitHub Enterprise Server, wenn du die Anwendung zuweist oder die Zuweisung aufhebst. GitHub Enterprise Server erstellt ein Benutzerkonto unter Verwendung der SAML-JIT-Bereitstellung (Just-In-Time), wenn ein Benutzer erstmals zu GitHub Enterprise Server navigiert und sich bei der Anmeldung über deinen Identitätsanbieter authentifiziert. Unter Umständen musst du Benutzer manuell benachrichtigen, wenn du ihnen Zugriff auf GitHub Enterprise Server gewährst, und beim Offboarding musst du manuell das Benutzerkonto in GitHub Enterprise Server deaktivieren.
Anstelle der SAML-JIT-Bereitstellung können Sie alternativ SCIM zum Erstellen oder Sperren von Benutzerkonten und zum automatischen Gewähren und Verweigern des Zugriffs auf Ihre GitHub Enterprise Server-Instance verwenden, nachdem Sie die Anwendung für Ihren Identitätsanbieter zugewiesen oder die Zuweisung aufgehoben haben. SCIM für GitHub Enterprise Server befindet sich derzeit in der öffentlichen beta und wird möglicherweise noch geändert. Weitere Informationen findest du unter Informationen zu Benutzerbereitstellung mit SCIM auf GitHub Enterprise Server.
Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für Ihre GitHub Enterprise Server-Instance manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen findest du unter Benutzer sperren und entsperren.
Unterstützte IdPs
GitHub Enterprise Server unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.
Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:
- Microsoft Active Directory-Verbunddienste (AD FS)
- Microsoft Entra ID (früher Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Wenn dein IdP verschlüsselte SAML-Assertionen unterstützt, kannst du verschlüsselte Assertionen in GitHub Enterprise Server konfigurieren und so während des Authentifizierungsprozesses erhöhte Sicherheit gewährleisten.
GitHub Enterprise Server unterstützt keinen SAML Single-Logout. Um eine aktive SAML-Sitzung zu beenden, sollte sich der Benutzer direkt auf Deiner SAML-IdP abmelden.
Weiterführende Themen
- Verwenden von SAML for Enterprise IAM
- SAML-Wiki auf der OASIS-Website
- SCIM (System for Cross-Domain Identity Management): Protokoll (RFC 7644) auf der IETF-Website