Informationen zum Identitäts- und Zugriffsmanagement mit SAML Single-Sign-On

Wenn Du die Identitäten und Applikationen Deiner Benutzer zentral mit einem Identitätsanbieter (identity provider IdP) verwaltest, kannst Du 'Security Assertion Markup Language' (SAML) Single Sign-On (SSO) konfigurieren, um die Ressourcen Deiner Organisation auf GitHub zu schützen.

SAML single sign-on is available with GitHub Enterprise Cloud. Weiter Informationen findest Du unter „GitHub Produkte."

Informationen zu SAML SSO

SAML single sign-on (SSO) gives organization owners and enterprise owners on GitHub a way to control and secure access to organization resources like repositories, issues, and pull requests.

Auch nachdem Du SAML SSO konfiguriert hast, werden Mitglieder Deiner GitHub-Organisation sich weiterhin auf GitHub in ihre Benutzerkonten anmelden. Wenn ein Mitglied auf Ressourcen Deiner SAML SSO einsetzenden Organisation zugreift, wird GitHub den Benutzer zwecks Authentifizierung zu Deinem IdP umleiten. Nach erfolgreicher Authentifizierung leitet Dein IdP den Benutzer zurück zu GitHub, wo er dann auf die Ressourcen Deiner Organisation zugreifen kann.

Organization owners can enforce SAML SSO for an individual organization, or enterprise owners can enforce SAML SSO for all organizations in an enterprise account. Weitere Informationen findest Du unter „SAML Single Sign-On für Organisationen in Deinem Enterprise-Konto aktivieren."

Hinweis: Externe Mitarbeiter müssen sich nicht bei einem IdP authentifizieren, um auf die Ressourcen in einer Organisation mit SAML-SSO zuzugreifen. Weitere Informationen zu externen Mitarbeitern findest Du unter „Berechtigungsebenen für eine Organisation."

Bevor Du SAML SSO für Deine Organisation aktivierst, musst Du Deinen IdP mit Deiner Organisation verbinden. Weitere Informationen findest Du unter „Deinen Identitätsanbieter mit Deiner Organisation verbinden.“

SAML SSO kann in einer Organisation entweder deaktiviert, aktiviert aber nicht erzwungen, oder aktiviert und erzwungen sein. Nachdem Du SAML SSO für Deine Organisation aktiviert hast und die Mitglieder Deiner Organisation sich erfolgreich mit Deinem IdP authentifizieren können, kannst Du die SAML SSO Konfiguration erzwingen. Weitere Informationen zur Durchsetzung von SAML SSO für Deine GitHub-Organisation findest Du unter „SAML Single Sign-On für Deine Organisation erzwingen."

Mitglieder müssen sich regelmäßig bei Deinem IdP anmelden, um sich zu authentifizieren und Zugang zu den Ressourcen Deiner Organisation zu erhalten. Die Dauer dieser Anmeldephase wird von Deinem IdP festgelegt und beträgt in der Regel 24 Stunden. Durch diese Verpflichtung zur regelmäßigen Anmeldung wird die Dauer des Zugriffs begrenzt, und die Benutzer müssen sich erneut identifizieren, um fortzufahren.

Um auf die geschützten Ressourcen der Organisation über das API und Git in der Befehlszeile zuzugreifen, müssen Mitglieder sich mit einem persönlichen Zugangs-Token oder SSH-Schlüssel autorisieren und authentifizieren. Weitere Informationen findest Du unter „Autorisieren eines persönlichen Zugriffstokens für die Benutzung mit SAML Single Sign-On" und „Autorisieren eines SSH-Schlüssels für die Benutzung mit SAML Single Sign-On."

Beim ersten Mal, wenn ein Mitglied SAML SSO verwendet, um auf Deine Organisation zuzugreifen, erstellt GitHub automatisch einen Datensatz, der Deine Organisation, das Konto des Mitglieds auf GitHub und das Konto des Mitglieds auf Deinem IdP miteinander verknüpft. Du kannst die verknüpfte SAML-Identität, aktive Sitzungen und autorisierte Anmeldeinformationen für Mitglieder Deiner Organisation oder Deines Enterprise-Kontos anzeigen und widerrufen. Weitere Informationen findest Du unter „Den SAML-Zugriff eines Mitglieds auf Deine Organisation anzeigen und verwalten" und „Den SAML-Zugriff eines Benutzers auf Dein Enterprise-Konto ansehen und verwalten."

If members are signed in with a SAML SSO session when they create a new repository, the default visibility of that repository is private. Otherwise, the default visibility is public. Weitere Informationen zu Repository-Sichtbarkeiten findest Du unter „Informationen zur Sichtbarkeit eines Repositorys“.

Organisationsmitglieder müssen auch eine aktive SAML-Sitzung haben, um eine OAuth App zu autorisieren. Du kannst Dich von dieser Anforderung abmelden, indem Du GitHub Support or GitHub Premium Support kontaktierst. GitHub empfiehlt nicht, sich von dieser Anforderung abzumelden, weil dies Deine Organisation einem höheren Risiko von Kontoübernahmen und potenziellen Datenverlust aussetzt.

GitHub unterstützt keinen SAML Single-Logout. Um eine aktive SAML-Sitzung zu beenden, sollte sich der Benutzer direkt auf Deiner SAML-IdP abmelden.

Unterstützte SAML-Dienste

Wir bieten begrenzten Support für alle Identitätsanbieter, die den SAML 2.0 Standard implementieren. Offiziell unterstützen wir diese Identitätsanbieter, welche intern getestet wurden:

  • Active Directory Federation Services (AD FS)
  • Azure Active Directory (Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Einige IdPs unterstützen die Bereitstellung von Zugriffen auf eine GitHub-Organisation über SCIM. Weitere Informationen findest Du unter „Über SCIM."

Mitglieder zu einer Organisation mit SAML SSO hinzufügen

Nachdem Sie SAML SSO aktiviert haben, gibt es mehrere Möglichkeiten, wie Sie neue Mitglieder zu Ihrer Organisation hinzufügen können. Organisationsinhaber können neue Mitglieder manuell auf GitHub oder über das API einladen. For more information, see "Inviting users to join your organization" and "Members."

Um neue Benutzer ohne Einladung eines Organisationsinhabers hinzuzufügen, kannst Du die URL https://github.com/orgs/ORGANIZATION/sso/sign_up verwenden und ORGANIZATION durch den Namen Deiner Organisation ersetzen. Du kannst beispielsweise Deinen IdP so konfigurieren, dass jeder, der Zugriff auf den IdP hat, auf einen Link im Dashboard des IdP klicken kann, um Deiner GitHub-Organisation beizutreten.

Wenn Dein IdP SCIM unterstützt, kann GitHub automatisch Mitglieder einladen, Deiner Organisation beizutreten, wenn Du den Zugriff auf Deine IdP erlaubst. Wenn Du den Zugriff eines Mitglieds auf Deine GitHub-Organisation auf Deinem SAML IdP entfernst, wird das Mitglied automatisch aus der GitHub-Organisation entfernt. Weitere Informationen findest Du unter „Über SCIM."

You can use team synchronization to automatically add and remove organization members to teams through an identity provider. Weitere Informationen findest Du unter „Ein Team mit einer Identitätsanbieter-Gruppe synchronisieren."

GitHub unterstützt keinen SAML Single-Logout. Um eine aktive SAML-Sitzung zu beenden, sollte sich der Benutzer direkt auf Deiner SAML-IdP abmelden.

Weiterführende Informationen

Did this doc help you?Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Oder, learn how to contribute.