Informationen zu SAML SSO
Mit SAML SSO kannst du den Zugriff auf your GitHub Enterprise Server instance über deinen SAML-IdP zentral steuern und schützen. Wenn ein nicht authentifizierter Benutzer your GitHub Enterprise Server instance in einem Browser besucht, leitet GitHub Enterprise Server ihn zur Authentifizierung an deinen SAML-IdP weiter. Nachdem der Benutzer sich erfolgreich mit einem Konto beim IdP authentifiziert hat, wird er von diesem wieder an your GitHub Enterprise Server instance geleitet. GitHub Enterprise Server überprüft die Antwort deines IdP und gewährt dem bzw. der Benutzer*in dann Zugriff.
Nachdem ein Benutzer sich erfolgreich bei deinem IdP authentifiziert hat, ist dessen bzw. deren SAML-Sitzung für your GitHub Enterprise Server instance im Browser 24 Stunden lang aktiv. Nach Ablauf der 24 Stunden muss der bzw. die Benutzer*in sich erneut bei deinem IdP authentifizieren.
Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für your GitHub Enterprise Server instance manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen findest du unter Sperren und Entsperren von Benutzern.
Unterstützte Identitätsanbieter
GitHub Enterprise Server unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.
Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:
- Active Directory-Verbunddienste (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Konfigurieren von SAML SSO
Du kannst die SAML-Authentifizierung für your GitHub Enterprise Server instance aktivieren oder deaktivieren oder eine vorhandene Konfiguration bearbeiten. Du kannst die Authentifizierungseinstellungen für GitHub Enterprise Server in der Verwaltungskonsole anzeigen und bearbeiten. Weitere Informationen findest du unter Zugreifen auf die Verwaltungskonsole.
Hinweis: GitHub empfiehlt dringend, alle neuen Konfigurationen im Hinblick auf die Authentifizierung in einer Stagingumgebung zu überprüfen. Eine falsche Konfiguration könnte zu Ausfallzeiten für your GitHub Enterprise Server instance führen. Weitere Informationen findest du unter Einrichten einer Staginginstanz.
-
Klicke in einem Verwaltungskonto auf GitHub Enterprise Server, und klicke in der oberen rechten Ecke einer beliebigen Seite auf .
-
Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.
1. Klicke auf der linken Seitenleiste auf Management Console .
1. Klicke in der linken Seitenleiste auf Authentifizierung.
-
Wähle SAML aus.
-
Um optional Personen ohne Konto auf deinem externen Authentifizierungssystem mit integrierter Authentifizierung dien anmelden genehmigen zu können, wähle Integrierte Authentifizierung zulassen aus. Weitere Informationen findest du unter „Zulassen der integrierten Authentifizierung für Benutzer außerhalb deines Anbieters“.
-
Wähle optional zum Aktivieren von SSO mit unangeforderter Antwort die Option IdP initiated SSO (IdP-initiiertes einmaliges Anmelden) aus. GitHub Enterprise Server antwortet auf eine von einem Identitätsanbieter (Identity Provider, IdP) initiierte unaufgeforderte Anforderung standardmäßig durch das Zurücksenden einer
AuthnRequest
an den IdP.Hinweis: Es empfiehlt sich, diesen Wert nicht auszuwählen. Du solltest dieses Feature nur dann aktivieren, wenn deine SAML-Implementierung das vom Dienstanbieter initiierte SSO nicht unterstützt und du vom GitHub Enterprise Support dazu angewiesen wirst.
-
Wähle Herabstufung des Administrators/Höherstufung zum Administrator deaktivieren aus, wenn du nicht möchtest, dass der SAML-Anbieter Administratorrechte für Benutzer in your GitHub Enterprise Server instance festlegen soll.
-
Wenn du optional zulassen möchtest, dass von your GitHub Enterprise Server instance verschlüsselte Assertionen vom SAML-IdP empfangen werden, wähle Verschlüsselte Assertionen erforderlich aus. Du musst dich vergewissern, dass der IdP verschlüsselte Assertionen unterstützt und dass die Verschlüsselungs- und Schlüsseltransportmethoden in der Verwaltungskonsole den für deinen IdP konfigurierten Werten entsprechen. Du musst dem IdP auch das öffentliche Zertifikat von your GitHub Enterprise Server instance bereitstellen. Weitere Informationen findest du unter Aktivieren verschlüsselter Assertionen.
-
Gib im Feld Single sign-on URL (URL für einmaliges Anmelden) den HTTP- oder HTTPS-Endpunkt für den IdP für SSO-Anforderungen ein. Dieser Wert wird durch deine IdP-Konfiguration angegeben. Wenn der Host nur über das interne Netzwerk verfügbar ist, musst du möglicherweise your GitHub Enterprise Server instance so konfigurieren, dass interne Namenserver verwendet werden.
-
Gib optional im Feld Issuer (Aussteller) den Namen des SAML-Ausstellers ein. Dadurch wird die Authentizität von Nachrichten verifiziert, die an your GitHub Enterprise Server instance gesendet werden.
-
Wähle in den Dropdownmenüs Signaturmethode und Hashwertmethode den Hashalgorithmus aus, der vom SAML-Aussteller dazu verwendet wird, die Integrität der Anforderungen von your GitHub Enterprise Server instance zu überprüfen. Gib das Format mit dem Dropdownmenü Name Identifier Format (Namensbezeichnerformat) an.
-
Klicke unter Verification certificate (Verifizierungszertifikat) auf Choose File (Datei auswählen), und wähle ein Zertifikat aus, um SAML-Antworten vom IdP zu überprüfen.
-
Ändere die SAML-Attributnamen bei Bedarf so, dass sie mit deinem IdP übereinstimmen, oder akzeptiere die Standardnamen.