Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Konfigurieren von SAML Single Sign-On für dein Unternehmen

Du kannst den Zugriff auf your GitHub Enterprise Server instance durch die Konfiguration des einmaliges Anmeldens mit SAML (SSO) über deinen Identitätsanbieter (IdP) verwalten und sichern.

Who can use this feature

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

Informationen zu SAML SSO

Mit SAML SSO kannst du den Zugriff auf your GitHub Enterprise Server instance über deinen SAML-IdP zentral steuern und schützen. Wenn ein nicht authentifizierter Benutzer your GitHub Enterprise Server instance in einem Browser besucht, leitet GitHub Enterprise Server ihn zur Authentifizierung an deinen SAML-IdP weiter. Nachdem der Benutzer sich erfolgreich mit einem Konto beim IdP authentifiziert hat, wird er von diesem wieder an your GitHub Enterprise Server instance geleitet. GitHub Enterprise Server überprüft die Antwort deines IdP und gewährt dem bzw. der Benutzer*in dann Zugriff.

Nachdem ein Benutzer sich erfolgreich bei deinem IdP authentifiziert hat, ist dessen bzw. deren SAML-Sitzung für your GitHub Enterprise Server instance im Browser 24 Stunden lang aktiv. Nach Ablauf der 24 Stunden muss der bzw. die Benutzer*in sich erneut bei deinem IdP authentifizieren.

Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für your GitHub Enterprise Server instance manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen findest du unter Sperren und Entsperren von Benutzern.

Unterstützte Identitätsanbieter

GitHub Enterprise Server unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.

Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:

  • Active Directory-Verbunddienste (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Konfigurieren von SAML SSO

Du kannst die SAML-Authentifizierung für your GitHub Enterprise Server instance aktivieren oder deaktivieren oder eine vorhandene Konfiguration bearbeiten. Du kannst die Authentifizierungseinstellungen für GitHub Enterprise Server in der Verwaltungskonsole anzeigen und bearbeiten. Weitere Informationen findest du unter Zugreifen auf die Verwaltungskonsole.

Hinweis: GitHub empfiehlt dringend, alle neuen Konfigurationen im Hinblick auf die Authentifizierung in einer Stagingumgebung zu überprüfen. Eine falsche Konfiguration könnte zu Ausfallzeiten für your GitHub Enterprise Server instance führen. Weitere Informationen findest du unter Einrichten einer Staginginstanz.

  1. Klicke in einem Verwaltungskonto auf GitHub Enterprise Server, und klicke in der oberen rechten Ecke einer beliebigen Seite auf .

    Screenshot des Raketensymbols für den Zugriff auf Websiteadministratoreinstellungen

  2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

    Screenshot des Links „Websiteadministrator“ 1. Klicke auf der linken Seitenleiste auf Management Console . Registerkarte Management Console auf der linken Seitenleiste 1. Klicke in der linken Seitenleiste auf Authentifizierung. Registerkarte „Authentifizierung“ in der Seitenleiste mit den Einstellungen

  3. Wähle SAML aus.

    Screenshot der Option zum Aktivieren der SAML-Authentifizierung in der Verwaltungskonsole

  4. Um optional Personen ohne Konto auf deinem externen Authentifizierungssystem mit integrierter Authentifizierung dien anmelden genehmigen zu können, wähle Integrierte Authentifizierung zulassen aus. Weitere Informationen findest du unter „Zulassen der integrierten Authentifizierung für Benutzer außerhalb deines Anbieters“.

    Screenshot der Option zum Aktivieren der integrierten Authentifizierung außerhalb des SAML-IdP

  5. Wähle optional zum Aktivieren von SSO mit unangeforderter Antwort die Option IdP initiated SSO (IdP-initiiertes einmaliges Anmelden) aus. GitHub Enterprise Server antwortet auf eine von einem Identitätsanbieter (Identity Provider, IdP) initiierte unaufgeforderte Anforderung standardmäßig durch das Zurücksenden einer AuthnRequest an den IdP.

    Screenshot der Option zum Aktivieren der vom IdP initiierten unangeforderten Antwort

    Hinweis: Es empfiehlt sich, diesen Wert nicht auszuwählen. Du solltest dieses Feature nur dann aktivieren, wenn deine SAML-Implementierung das vom Dienstanbieter initiierte SSO nicht unterstützt und du vom GitHub Enterprise Support dazu angewiesen wirst.

  6. Wähle Herabstufung des Administrators/Höherstufung zum Administrator deaktivieren aus, wenn du nicht möchtest, dass der SAML-Anbieter Administratorrechte für Benutzer in your GitHub Enterprise Server instance festlegen soll.

    Screenshot der Option hinsichtlich der Berücksichtigung des „Administrator“-Attributs vom IdP, mit dem Administratorrechte aktiviert oder deaktiviert werden

  7. Wenn du optional zulassen möchtest, dass von your GitHub Enterprise Server instance verschlüsselte Assertionen vom SAML-IdP empfangen werden, wähle Verschlüsselte Assertionen erforderlich aus. Du musst dich vergewissern, dass der IdP verschlüsselte Assertionen unterstützt und dass die Verschlüsselungs- und Schlüsseltransportmethoden in der Verwaltungskonsole den für deinen IdP konfigurierten Werten entsprechen. Du musst dem IdP auch das öffentliche Zertifikat von your GitHub Enterprise Server instance bereitstellen. Weitere Informationen findest du unter Aktivieren verschlüsselter Assertionen.

    Screenshot des Kontrollkästchens „Enable encrypted assertions“ (Verschlüsselte Assertionen aktivieren) im Abschnitt „Authentication“ (Authentifizierung) der Verwaltungskonsole

  8. Gib im Feld Single sign-on URL (URL für einmaliges Anmelden) den HTTP- oder HTTPS-Endpunkt für den IdP für SSO-Anforderungen ein. Dieser Wert wird durch deine IdP-Konfiguration angegeben. Wenn der Host nur über das interne Netzwerk verfügbar ist, musst du möglicherweise your GitHub Enterprise Server instance so konfigurieren, dass interne Namenserver verwendet werden.

    Screenshot des Textfelds für die URL für einmaliges Anmelden

  9. Gib optional im Feld Issuer (Aussteller) den Namen des SAML-Ausstellers ein. Dadurch wird die Authentizität von Nachrichten verifiziert, die an your GitHub Enterprise Server instance gesendet werden.

    Screenshot des Textfelds für die URL des SAML-Ausstellers

  10. Wähle in den Dropdownmenüs Signaturmethode und Hashwertmethode den Hashalgorithmus aus, der vom SAML-Aussteller dazu verwendet wird, die Integrität der Anforderungen von your GitHub Enterprise Server instance zu überprüfen. Gib das Format mit dem Dropdownmenü Name Identifier Format (Namensbezeichnerformat) an.

    Screenshot der Dropdownmenüs zum Auswählen der Signatur- und der Hashwertmethode

  11. Klicke unter Verification certificate (Verifizierungszertifikat) auf Choose File (Datei auswählen), und wähle ein Zertifikat aus, um SAML-Antworten vom IdP zu überprüfen.

    Screenshot der Schaltfläche zum Hochladen des Verifizierungszertifikats vom IdP

  12. Ändere die SAML-Attributnamen bei Bedarf so, dass sie mit deinem IdP übereinstimmen, oder akzeptiere die Standardnamen.

    Screenshot der Felder zum Eingeben zusätzlicher SAML-Attribute

Weitere Informationsquellen