Konfigurieren der -Authentifizierung und -Bereitstellung mit Okta

Erfahre hier, wie du Okta für die Kommunikation mit deinem Unternehmen konfigurierst.

Wer kann dieses Feature verwenden?

Site administrators with admin access to the IdP

In diesem Artikel

Informationen zur Bereitstellung mit Okta

Wenn Sie Okta als IdP verwenden, können Sie die Anwendung von Okta verwenden, um Benutzerkonten bereitzustellen, die Unternehmensmitgliedschaft zu verwalten und Teammitgliedschaften für Organisationen in Ihrem Unternehmen zu verwalten. Okta ist ein Partner-IDP, sodass Sie Ihre Authentifizierungs- und Bereitstellungskonfiguration vereinfachen können, indem Sie die Okta-Anwendung um sowohl SAML-Single Sign On als auch SCIM-Bereitstellung auf GitHub Enterprise Server zu verwalten.

Alternativ können Sie, wenn Sie okta nur für die SAML-Authentifizierung nutzen und einen anderen IdP für die Bereitstellung verwenden möchten, mit der REST-API für SCIM von GitHub integriert werden. Weitere Informationen finden Sie unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Unterstützte Funktionen

GitHub Enterprise Server unterstützt die folgenden Bereitstellungsfunktionen für Okta.

FunktionBESCHREIBUNG
Push neuer BenutzerBenutzer, die GitHub in Okta zugewiesen sind, werden automatisch im Unternehmen auf GitHub erstellt.
Push-ProfilaktualisierungAktualisierungen, die am Profil des Benutzers in Okta vorgenommen wurden, werden an GitHub gepusht.
Push-GruppenGruppen in Okta, die GitHub als Pushgruppen zugewiesen sind, werden automatisch im Unternehmen auf GitHub erstellt.
Push Benutzer-DeaktivierungDurch das Aufheben der Zuweisung des Benutzers in GitHub in Okta wird der Benutzer in GitHub deaktiviert. Der Benutzer kann sich nicht anmelden, aber die Informationen des Benutzers werden beibehalten.
Benutzer reaktivierenBenutzer in Okta, deren Okta-Konten reaktiviert werden und die zurück an die GitHub auf Okta zugewiesen werden, werden aktiviert.

Voraussetzungen

Es gelten die allgemeinen Voraussetzungen für die Verwendung von SCIM für GitHub Enterprise Server. Weitere Informationen findest du im Abschnitt „Voraussetzungen“ unter Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern.

Außerdem:

  • Um SCIM zu konfigurieren, musst du die Schritte 1 bis 4 in Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern abgeschlossen haben.

    • Du benötigst die personal access token (classic), die für den Einrichtungsbenutzer erstellt wurden, um Anfragen von Okta zu authentifizieren.

  • Sie müssen die Anwendung von Okta sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.

  • Ihr Okta-Produkt muss System for Cross-Domain Identity Management (SCIM) unterstützen. Wegen weiteren Informationen können Sie die Dokumentation von Okta heranziehen oder sich an das Supportteam von Okta wenden.

1. SAML konfigurieren

Bevor du mit diesem Abschnitt beginnst, solltest du sicherstellen, dass du die Schritte 1 und 2 in Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern befolgt hast.

In Okta

  1. Wechseln Sie zur Anwendung GitHub Enterprise Server in Okta.

  2. Klicke auf Integration hinzufügen.

  3. Geben Sie in den allgemeinen Einstellungen für die Basis-URL Ihre GitHub Enterprise Server Host-URL (https://HOSTNAME.com) ein.

  4. Klicke auf die Registerkarte Sign On (Anmelden).

  5. Stellen Sie sicher, dass die „Anmeldedaten“ mit Folgendem übereinstimmen.

    • „Anwendungsbenutzernamenformat“: Okta-Benutzername
    • „Anwendungsbenutzername aktualisieren bei“: Erstellen und Aktualisieren
    • „Passwort einblenden“: Nicht ausgewählt

  6. Laden Sie im Abschnitt „SAML-Signaturzertifikate“ Ihr Zertifikat herunter, indem Sie Aktionen auswählen und dann auf Zertifikat herunterladen klicken.

  7. Klicken Sie auf der rechten Seite der Seite auf SAML-Setupanweisungen anzeigen.

  8. Notieren Sie sich die „Sign-In-URL“ und die „Herausgeber-URL“.

Auf GitHub Enterprise Server

  1. Melden Sie sich bei Ihre GitHub Enterprise Server-Instance als Benutzer mit Zugriff auf die Verwaltungskonsole an.
  2. Konfigurieren Sie SAML mithilfe der gesammelten Informationen. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

2. SCIM konfigurieren

Nachdem du die SAML-Einstellungen konfiguriert hast, kannst du mit dem Konfigurieren der Bereitstellungseinstellungen fortfahren.

Bevor du mit diesem Abschnitt beginnst, solltest du sicherstellen, dass du die Schritte 1 bis 4 in Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern befolgt hast.

  1. Navigiere auf Okta zu der Anwendung GitHub Enterprise Managed User.

  2. Klicke auf die Registerkarte Bereitstellung.

  3. Klicke im Einstellungsmenü auf Integration.

  4. Klicke auf Edit (Bearbeiten), um Änderungen vorzunehmen.

  5. Klicke auf API-Integration konfigurieren.

  6. Gib im Feld „API Token“ das personal access token (classic) ein, das dem Benutzer zugehört, der die Einrichtung vorgenommen hat.

    Hinweis

    „Gruppen importieren“ wird von GitHub nicht unterstützt. Das Aktivieren oder Deaktivieren des Kontrollkästchens hat keine Auswirkungen auf deine Konfiguration.

  7. Klicke auf API-Anmeldeinformationen testen. Wenn der Test erfolgreich ist, wird oben auf dem Bildschirm eine Überprüfungsmeldung angezeigt.

  8. Klicke zum Speichern des Tokens auf Save (Speichern).

  9. Klicken Sie im Einstellungsmenü auf To App.

  10. Klicke rechts neben „Provisioning to App“ (Bereitstellung für App) auf Edit (Bearbeiten), damit Änderungen vorgenommen werden können.

  11. Wähle rechts von Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren die Option Aktivieren aus.

  12. Klicke auf Speichern (Save), um die Konfiguration der Bereitstellung abzuschließen.

Wenn Sie die Konfiguration von SCIM abgeschlossen haben, möchten Sie möglicherweise einige SAML-Einstellungen deaktivieren, die Sie für den Konfigurationsprozess aktiviert haben. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern.

Wie weise ich Benutzern und Gruppen zu?

Hinweis

Ein Websiteadministrator hat möglicherweise API-Ratenbegrenzungen für Ihre Instanz aktiviert. Bei Überschreitung dieser Schwellenwerte tritt bei der Benutzerbereitstellung möglicherweise ein Ratenlimitfehler auf, und die Bereitstellung ist nicht erfolgreich. Du kannst deine IdP-Protokolle überprüfen, um zu bestätigen, ob versuchte SCIM-Bereitstellungen oder Pushvorgänge aufgrund eines Fehlers bei der Ratenbegrenzung fehlgeschlagen sind. Die Antwort auf einen fehlgeschlagenen Bereitstellungsversuch hängt vom IdP ab. Weitere Informationen findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deines Unternehmens.

Du kannst die Organisationsmitgliedschaft auch automatisch verwalten, indem du Gruppen zur Registerkarte „Push Groups“ in Okta hinzufügst. Wenn die Gruppe erfolgreich bereitgestellt wird, kann sie mit Teams in den Organisationen des Unternehmens verbunden werden. Weitere Informationen zum Verwalten von Teams findest du unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.

Die Zuweisung von Rollen im Unternehmensmanagement erfolgt nach folgenden Schritten:

Hinweis

Du kannst das Attribut „Rollen“ nur für einzelne Benutzer festlegen, nicht jedoch für Gruppen. Wenn Sie Rollen für alle Benutzer*innen in einer Gruppe festlegen möchten, die der Anwendung in Okta zugewiesen ist, musst du das Attribut „Rollen“ für jedes Gruppenmitglied einzeln festlegen.

Wie deprovisioniere ich Benutzer und Gruppen?

Wenn du Benutzer oder Gruppen aus GitHub entfernen möchtest, entferne sie in Okta aus der Registerkarte „Zuweisungen“ und der Registerkarte „Pushgruppen“. Stelle für Benutzer*innen sicher, dass sie aus allen Gruppen auf der Registerkarte „Pushgruppen“ entfernt werden.