Informationen zu SAML SSO
Mit SAML SSO kannst du den Zugriff auf deine GitHub Enterprise Server-Instanz über deinen SAML-IdP zentral steuern und schützen. Wenn ein nicht authentifizierter Benutzer deine GitHub Enterprise Server-Instanz in einem Browser besucht, leitet GitHub Enterprise Server ihn zur Authentifizierung an deinen SAML-IdP weiter. Nachdem der Benutzer sich erfolgreich mit einem Konto beim IdP authentifiziert hat, wird er von diesem wieder an deine GitHub Enterprise Server-Instanz geleitet. GitHub Enterprise Server überprüft die Antwort deines IdP und gewährt dem bzw. der Benutzer*in dann Zugriff.
Nachdem ein Benutzer sich erfolgreich bei deinem IdP authentifiziert hat, ist dessen bzw. deren SAML-Sitzung für deine GitHub Enterprise Server-Instanz im Browser 24 Stunden lang aktiv. Nach Ablauf der 24 Stunden muss der bzw. die Benutzer*in sich erneut bei deinem IdP authentifizieren.
Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für deine GitHub Enterprise Server-Instanz manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen findest du unter Benutzer sperren und entsperren.
Unterstützte Identitätsanbieter
GitHub Enterprise Server unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.
Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:
- Active Directory-Verbunddienste (AD FS)
- Azure Active Directory (Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Konfigurieren von SAML SSO
Du kannst die SAML-Authentifizierung für deine GitHub Enterprise Server-Instanz aktivieren oder deaktivieren oder eine vorhandene Konfiguration bearbeiten. Du kannst die Authentifizierungseinstellungen für GitHub Enterprise Server in der Verwaltungskonsole anzeigen und bearbeiten. Weitere Informationen findest du unter Verwalten Ihrer Instanz über die Verwaltungskonsole.
Hinweis: GitHub empfiehlt dringend, alle neuen Konfigurationen im Hinblick auf die Authentifizierung in einer Stagingumgebung zu überprüfen. Eine falsche Konfiguration könnte zu Ausfallzeiten für deine GitHub Enterprise Server-Instanz führen. Weitere Informationen findest du unter Testinstanz einrichten.
-
Klicke in einem Verwaltungskonto auf GitHub Enterprise Server und dann in der rechten oberen Ecke einer beliebigen Seite auf „“.
-
Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator. 1. Wähle auf der Randleiste „ Websiteadministrator“ die Option Verwaltungskonsole aus. 1. Klicke auf der Randleiste unter „Einstellungen“ auf Authentifizierung.
-
Wähle unter „Authentifizierung“ die Option SAML aus.
-
Um optional Personen ohne Konto auf deinem externen Authentifizierungssystem mit integrierter Authentifizierung dien anmelden genehmigen zu können, wähle Integrierte Authentifizierung zulassen aus. Weitere Informationen findest du unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.
-
Wähle optional zum Aktivieren von SSO mit unangeforderter Antwort die Option IdP initiated SSO (IdP-initiiertes einmaliges Anmelden) aus. GitHub Enterprise Server antwortet auf eine von einem Identitätsanbieter (Identity Provider, IdP) initiierte unaufgeforderte Anforderung standardmäßig durch das Zurücksenden einer
AuthnRequestan den IdP.Hinweis: Es empfiehlt sich, diesen Wert nicht auszuwählen. Du solltest dieses Feature nur dann aktivieren, wenn deine SAML-Implementierung das vom Dienstanbieter initiierte SSO nicht unterstützt und du vom GitHub Enterprise Support dazu angewiesen wirst.
-
Wähle optional Herabstufung des Administrators/Höherstufung zum Administrator deaktivieren aus, wenn du nicht möchtest, dass der SAML-Anbieter Administratorrechte für Benutzer*innen in deine GitHub Enterprise Server-Instanz festlegt.
-
Wenn du optional zulassen möchtest, dass von deine GitHub Enterprise Server-Instanz verschlüsselte Assertionen vom SAML-IdP empfangen werden, wähle Verschlüsselte Assertionen erforderlich aus.
Du musst dich vergewissern, dass der IdP verschlüsselte Assertionen unterstützt und dass die Verschlüsselungs- und Schlüsseltransportmethoden in der Verwaltungskonsole den für deinen IdP konfigurierten Werten entsprechen. Du musst dem IdP auch das öffentliche Zertifikat von deine GitHub Enterprise Server-Instanz bereitstellen. Weitere Informationen findest du unter Aktivieren von verschlüsselten Assertionen.
-
Gib unter „URL für einmaliges Anmelden“ den HTTP- oder HTTPS-Endpunkt für den Identitätsanbieter (IdP) für SSO-Anforderungen (Single Sign-On, einmaliges Anmelden) ein. Dieser Wert wird durch deine IdP-Konfiguration angegeben. Wenn der Host nur über das interne Netzwerk verfügbar ist, musst du möglicherweise deine GitHub Enterprise Server-Instanz so konfigurieren, dass interne Namenserver verwendet werden.
-
Gib optional im Feld Issuer (Aussteller) den Namen des SAML-Ausstellers ein. Dadurch wird die Authentizität von Nachrichten verifiziert, die an deine GitHub Enterprise Server-Instanz gesendet werden.
-
Wähle in den Dropdownmenüs Signaturmethode und Hashwertmethode den Hashalgorithmus aus, der vom SAML-Aussteller verwendet wird, um die Integrität der Anforderungen von deine GitHub Enterprise Server-Instanz zu überprüfen.
-
Wähle im Dropdownmenü Namensbezeichnerformat ein Format aus.
-
Wähle unter „Verifizierungszertifikat“ die Option Datei auswählen und dann ein Zertifikat aus, um SAML-Antworten vom Identitätsanbieter zu überprüfen.
-
Ändere ggf. unter „Benutzerattribute“ die SAML-Attributnamen entsprechend deinem Identitätsanbieter, oder übernimm die Standardnamen.