Note
Für das Verwenden von SAML Single Sign-On muss deine Organisation GitHub Enterprise Cloud nutzen. Weitere Informationen zum kostenlosen Testen von GitHub Enterprise Cloud findest du unter Eine Testversion von GitHub Enterprise Cloud einrichten.
Informationen zu SAML SSO
Einmaliges Anmelden (SSO) von SAML bietet Organisations- und Unternehmensinhabern unter Verwendung von GitHub Enterprise Cloud die Möglichkeit, den Zugriff auf Organisationsressourcen wie Repositorys, Issues oder Pull Requests zu kontrollieren und zu sichern.
Wenn du SAML-SSO konfigurierst, melden sich die Mitglieder deiner Organisation weiterhin bei ihren persönlichen Konten bei GitHub.com an. Wenn ein Mitglied auf Ressourcen deiner Organisation zugreift, wird es in den meisten Fällen von GitHub zur Authentifizierung an deinen IdP umgeleitet. Nach erfolgreicher Authentifizierung leitet dein IdP den Benutzer zurück zu GitHub. Weitere Informationen findest du unter Informationen zur Authentifizierung mit SAML Single Sign-On.
Note
SAML SSO ersetzt nicht den gewöhnlichen Anmeldevorgang für GitHub. Sofern du nicht Enterprise Managed Users verwendest, melden sich Mitglieder weiterhin bei ihren persönlichen Konten auf GitHub.com an, und jedes persönliche Konto wird mit einer externen Identität in deinem IdP verknüpft.
Die IdP-Authentifizierung ist nicht erforderlich, wenn auf bestimmte Weise auf öffentliche Repositorys zugegriffen wird:
- Anzeigen der Übersichtsseite und des Dateiinhalts des Repositorys auf GitHub
- Forken des Repositorys
- Ausführen von Lesevorgängen über Git, z. B. das Klonen des Repositorys
Die Authentifizierung ist bei anderen Zugriffsmethoden auf öffentliche Repositorys erforderlich, z. B. für das Anzeigen von Issues, Pull Requests, Projekten und Releases.
Note
SAML-Authentifizierung ist für externe Mitarbeiter nicht erforderlich. Weitere Informationen zu externen Mitarbeiter*innen finden Sie unter Rollen in einer Organisation.
Organisationsbesitzer können SAML-SSO für eine einzelne Organisation erzwingen, oder Unternehmensbesitzer können SAML-SSO für alle Organisationen in einem Unternehmenskonto erzwingen. Weitere Informationen findest du unter Informationen zur Identitäts- und Zugriffsverwaltung und Konfigurieren von SAML Single Sign-On für dein Unternehmen.
Bevor Du SAML SSO für Deine Organisation aktivierst, musst Du Deinen IdP mit Deiner Organisation verbinden. Weitere Informationen finden Sie unter Verbinden deines Identitätsanbieters mit deiner Organisation.
SAML SSO kann in einer Organisation entweder deaktiviert, aktiviert aber nicht erzwungen, oder aktiviert und erzwungen sein. Nachdem Du SAML SSO für Deine Organisation aktiviert hast und die Mitglieder Deiner Organisation sich erfolgreich mit Deinem IdP authentifizieren können, kannst Du die SAML SSO Konfiguration erzwingen. Weitere Informationen zum Erzwingen von SAML-SSO für deine GitHub-Organisation findest du unter Erzwingen der einmaligen SAML-Anmeldung für deine Organisation.
Mitglieder müssen sich regelmäßig bei Deinem IdP anmelden, um sich zu authentifizieren und Zugang zu den Ressourcen Deiner Organisation zu erhalten. Die Dauer dieser Anmeldephase wird von Deinem IdP festgelegt und beträgt in der Regel 24 Stunden. Durch diese Verpflichtung zur regelmäßigen Anmeldung wird die Dauer des Zugriffs begrenzt, und die Benutzer müssen sich erneut identifizieren, um fortzufahren.
Um auf die geschützten Ressourcen der Organisation über das API und Git in der Befehlszeile zuzugreifen, müssen Mitglieder sich mit einem personal access token oder SSH-Schlüssel autorisieren und authentifizieren. Weitere Informationen findest du unter Ein persönliches Zugriffstoken für die Verwendung mit SAML Single Sign-On autorisieren und Einen SSH-Schlüssel für die Verwendung mit SAML Single Sign-On autorisieren.
Wenn ein Mitglied zum ersten Mal SAML-SSO für den Zugriff auf Ihre Organisation verwendet, erstellt GitHub automatisch einen Datensatz, der Ihre Organisation, das Konto des Mitglieds bei GitHub und das Konto des Mitglieds bei Ihrem Identitätsanbieter miteinander verknüpft. Du kannst die verknüpfte SAML-Identität, aktive Sitzungen und autorisierte Anmeldeinformationen für Mitglieder Deiner Organisation oder Deines Enterprise-Kontos anzeigen und widerrufen. Weitere Informationen findest du unter Anzeigen und Verwalten des SAML-Zugriffs eines Mitglieds auf deine Organisation und Anzeigen und Verwalten des SAML-Zugriffs von Benutzer*innen auf dein Unternehmen.
Wenn Mitglieder ein neues Repository erstellen, während sie bei einer SAML-SSO-Sitzung angemeldet sind, ist die standardmäßige Sichtbarkeit dieses Repositorys privat. Andernfalls ist die Standardsichtbarkeit öffentlich. Weitere Informationen zur Sichtbarkeit von Repositorys findest du unter Informationen zu Repositorys.
Organisationsmitglieder müssen auch eine aktive SAML-Sitzung haben, um eine OAuth app zu autorisieren. Du kannst Dich von dieser Anforderung abmelden, indem Du uns über das GitHub-Support-Portal kontaktierst. GitHub Enterprise Cloud empfiehlt nicht, sich von dieser Anforderung abzumelden, weil dies Deine Organisation einem höheren Risiko von Kontoübernahmen und potenziellen Datenverlust aussetzt.
GitHub Enterprise Cloud unterstützt keinen SAML Single-Logout. Um eine aktive SAML-Sitzung zu beenden, sollte sich der Benutzer direkt auf Deiner SAML-IdP abmelden.
Unterstützte SAML-Dienste
GitHub Enterprise Cloud unterstützt SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.
Folgende Identitätsanbieter werden von GitHub offiziell unterstützt und intern getestet:
- Microsoft Active Directory-Verbunddienste (AD FS)
- Microsoft Entra ID (früher Azure AD)
- Okta
- OneLogin
- PingOne
- Shibboleth
Einige Identitätsanbieter unterstützen die Bereitstellung des Zugriffs auf eine GitHub-Organisation über SCIM. Weitere Informationen finden Sie unter Informationen zu SCIM für Organisationen.
Du kannst diese Implementierung von SCIM nicht mit einem Unternehmenskonto oder mit einer Organisation mit verwalteten Benutzer*innen verwenden. Wenn dein Unternehmen für Enterprise Managed Users aktiviert ist, musst du eine andere Implementierung von SCIM verwenden. Andernfalls ist SCIM auf Unternehmensebene nicht verfügbar. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.
Mitglieder zu einer Organisation mit SAML SSO hinzufügen
Nachdem du SAML-SSO aktiviert hast, gibt es mehrere Möglichkeiten, deiner Organisation neue Mitglieder hinzuzufügen. Organisationsinhaber können neue Mitglieder manuell auf GitHub Enterprise Cloud oder über das API einladen. Weitere Informationen findest du unter Einladen von Benutzer*innen zum Beitritt in deine Organisation und REST-API-Endpunkte für Organisationen.
Wenn du neue Benutzer ohne Einladung eines Organisationsbesitzers bereitstellen möchtest, kannst du die URL https://github.com/orgs/ORGANIZATION/sso/sign_up
verwenden und dabei ORGANIZATION durch den Namen deiner Organisation ersetzen. Du kannst beispielsweise Deinen IdP so konfigurieren, dass jeder, der Zugriff auf den IdP hat, auf einen Link im Dashboard des IdP klicken kann, um Deiner GitHub-Organisation beizutreten.
Note
Das Bereitstellen neuer Benutzer mit https://github.com/orgs/ORGANIZATION/sso/sign_up
wird nur unterstützt, wenn SAML-SSO auf Organisationsebene konfiguriert ist. Es wird nicht unterstützt, wenn SAML-SSO auf Unternehmenskontoebene konfiguriert ist. Weitere Informationen zu SAML-SSO findest du unter Informationen zu SAML für Enterprise IAM.
Wenn Dein IdP SCIM unterstützt, kann GitHub automatisch Mitglieder einladen, Deiner Organisation beizutreten, wenn Du den Zugriff auf Deine IdP erlaubst. Wenn Du den Zugriff eines Mitglieds auf Deine GitHub-Organisation auf Deinem SAML IdP entfernst, wird das Mitglied automatisch aus der GitHub-Organisation entfernt. Weitere Informationen finden Sie unter Informationen zu SCIM für Organisationen.
Du kannst die Teamsynchronisierung nutzen, um Organisationsmitglieder automatisch über einen Identitätsanbieter zu Teams hinzuzufügen und daraus zu entfernen. Weitere Informationen findest du unter Synchronisieren eines Teams mit einer Identitätsanbietergruppe.
Wenn eine Organisation 100.000 Mitglieder überschreitet, werden einige Benutzeroberflächeerfahrungen und API-Funktionen möglicherweise beeinträchtigt.