GitHub AE ist derzeit begrenzt freigegeben.

Konfigurieren von SAML Single Sign-On für dein Unternehmen

In diesem Artikel

Du kannst den Zugriff auf dein Unternehmen auf GitHub AE durch die Konfiguration des einmaliges Anmeldens mit SAML (SSO) über deinen Identitätsanbieter (IdP) verwalten und sichern.

Wer kann dieses Feature verwenden?

Enterprise owners can configure SAML SSO for an enterprise on GitHub AE.

Informationen zu SAML SSO

Mit SAML SSO kannst du den Zugriff auf dein Unternehmen über deinen SAML-IdP zentral steuern und schützen. Wenn ein nicht authentifizierter Benutzer dein Unternehmen in einem Browser besucht, leitet GitHub AE ihn zur Authentifizierung an deinen SAML-IdP weiter. Nachdem der Benutzer sich erfolgreich mit einem Konto beim IdP authentifiziert hat, wird er von diesem wieder an dein Unternehmen geleitet. GitHub AE überprüft die Antwort deines IdP und gewährt dem bzw. der Benutzer*in dann Zugriff.

Nachdem ein Benutzer sich erfolgreich bei deinem IdP authentifiziert hat, ist dessen bzw. deren SAML-Sitzung für dein Unternehmen im Browser 24 Stunden lang aktiv. Nach Ablauf der 24 Stunden muss der bzw. die Benutzer*in sich erneut bei deinem IdP authentifizieren.

Um eine Person als Unternehmensbesitzerin festzulegen, musst du den Zugriff über deinen IdP delegieren. Wenn du Azure AD und SCIM verwendest, weise dem Benutzer oder der Benutzerin die Unternehmensbesitzerrolle zu. Füge für andere IdPs das administrator-Attribut mit dem Wert true in die SAML-Assertion für das Benutzerkonto auf dem IdP ein. Weitere Informationen zu Unternehmensbesitzerinnen findest du unter Rollen in einem Unternehmen. Weitere Informationen zur Authentifizierung und Bereitstellung mithilfe von Azure AD findest du unter Konfigurieren der Authentifizierung und Bereitstellung für dein Unternehmen mit Azure AD.

Standardmäßig kommuniziert dein Identitätsanbieter nicht automatisch mit GitHub AE, wenn du die Anwendung zuweist oder die Zuweisung aufhebst. GitHub AE erstellt ein Benutzerkonto unter Verwendung der SAML-JIT-Bereitstellung (Just-In-Time), wenn ein Benutzer erstmals zu GitHub AE navigiert und sich bei der Anmeldung über deinen Identitätsanbieter authentifiziert. Unter Umständen musst du Benutzer manuell benachrichtigen, wenn du ihnen Zugriff auf GitHub AE gewährst, und beim Offboarding musst du manuell das Benutzerkonto in GitHub AE deaktivieren.

Anstelle der SAML-JIT-Bereitstellung kannst du alternativ SCIM zum Erstellen oder Sperren von Benutzerkonten und zum automatischen Gewähren und Verweigern des Zugriffs auf dein Unternehmen verwenden, nachdem du die Anwendung für deinen Identitätsanbieter zugewiesen oder die Zuweisung aufgehoben hast. Weitere Informationen findest du unter Konfigurieren der Benutzerbereitstellung mit SCIM für dein Unternehmen.

Unterstützte Identitätsanbieter

GitHub AE unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.

Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:

  • Azure Active Directory (Azure AD)
  • Okta (Beta)

Weitere Informationen zum Verbinden von Azure AD mit deinem Unternehmen findest du unter Tutorial: Integration des einmaligen Anmeldens (Single Sign-On, SSO) von Azure Active Directory in GitHub Enterprise Cloud – Enterprise Account in der Microsoft-Dokumentation.

Grundlegendes für Benutzernamen bei SAML

GitHub AE normalisiert einen Wert deines IdP, um den Benutzernamen für jedes neue persönliche Konto auf GitHub AE festzulegen. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Aktivieren von SAML SSO

Du konfigurierst die Identitäts- und Zugriffsverwaltung für GitHub AE, indem du während der Initialisierung die Details für SAML-IdP eingibst. Weitere Informationen findest du unter Initialisieren von GitHub AE.

Die folgenden IdP haben eine Dokumentation zum Konfigurieren von SAML SSO für GitHub AE veröffentlicht. Wenn dein IdP nicht aufgeführt ist, wende dich an deinen IdP, um Unterstützung für GitHub AE anzufordern.

IdPWeitere Informationen
Azure ADKonfigurieren der Authentifizierung und Bereitstellung für dein Unternehmen mit Azure AD
OktaKonfigurieren der Authentifizierung und Bereitstellung für dein Unternehmen mithilfe von Okta

Während der Initialisierung für GitHub AE musst du GitHub AE als SAML-Dienstanbieter (SP, Service Provider) bei deinem IdP konfigurieren. Du musst mehrere eindeutige Werte bei deinem IdP eingeben, um GitHub AE als gültigen SP zu konfigurieren. Weitere Informationen findest du unter Referenz zur SAML-Konfiguration.

Bearbeiten der SAML-SSO-Konfiguration

Wenn sich die Details für deinen IdP ändern, musst du die SAML-SSO-Konfiguration für dein Unternehmen bearbeiten. Wenn beispielsweise das Zertifikat für deinen IdP abläuft, kannst du den Wert für das öffentliche Zertifikat bearbeiten.

Hinweis: Wenn du dich nicht bei deinem Unternehmen anmelden kannst, weil GitHub AE nicht mit deinem SAML-IdP kommunizieren kann, wende dich an den GitHub-Support. Dieser kann dich beim Zugriff auf GitHub AE unterstützen, damit du die SAML-SSO-Konfiguration aktualisieren kannst. Weitere Informationen findest du unter Kontaktieren des GitHub-Supports.

  1. Klicke oben rechts auf GitHub AE auf dein Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn Sie auf GitHub Enterprise Server auf das Profilfoto klicken. Die Option „Unternehmenseinstellungen“ ist dunkelorange hervorgehoben.

  2. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  3. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  4. Gib unter „SAML Single Sign-On“ die neuen Details deines IdP ein.

  5. Klicke unter deinem öffentlichen Zertifikat rechts neben den aktuellen Signatur- und Digestmethoden auf .

    Screenshot der aktuellen Signaturmethode und Digestmethode in den SAML-Einstellungen. Das Stiftsymbol ist mit einem orangefarbenen Umriss hervorgehoben.

  6. Wähle dann in den Dropdownmenüs Signaturmethode und Digestmethode den Hashalgorithmus aus, den dein SAML-Aussteller verwendet.

  7. Klicke auf SAML-Konfiguration testen, um dich zu vergewissern, dass die von dir eingegebenen Informationen korrekt sind.

  8. Klicke auf Speichern.

  9. Für die automatische Bereitstellung und Aufhebung der Bereitstellung von Benutzerkonten für dein Unternehmen kannst du optional die Benutzerbereitstellung mit SCIM neu konfigurieren. Weitere Informationen findest du unter Konfigurieren der Benutzerbereitstellung mit SCIM für dein Unternehmen.

Deaktivieren von SAML SSO

Warnung: Wenn du SAML SSO für dein Unternehmen deaktivierst, können sich Benutzer ohne bestehende SAML-SSO-Sitzungen nicht bei dein Unternehmen anmelden. SAML-SSO-Sitzungen in dein Unternehmen laufen nach 24 Stunden ab.

Hinweis: Wenn du dich nicht bei deinem Unternehmen anmelden kannst, weil GitHub AE nicht mit deinem SAML-IdP kommunizieren kann, wende dich an den GitHub-Support. Dieser kann dich beim Zugriff auf GitHub AE unterstützen, damit du die SAML-SSO-Konfiguration aktualisieren kannst. Weitere Informationen findest du unter Kontaktieren des GitHub-Supports.

  1. Klicke oben rechts auf GitHub AE auf dein Profilfoto und dann auf Unternehmenseinstellungen.

    Screenshot des Dropdownmenüs, das angezeigt wird, wenn Sie auf GitHub Enterprise Server auf das Profilfoto klicken. Die Option „Unternehmenseinstellungen“ ist dunkelorange hervorgehoben.

  2. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  3. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  4. Deaktiviere unter „Einmaliges Anmelden mit SAML“ das Kontrollkästchen SAML-Authentifizierung aktivieren.

  5. Klicke auf Speichern, um SAML SSO zu deaktivieren und die Anmeldung mit dem integrierten Benutzerkonto zu erzwingen, das während der Initialisierung erstellt wurde.