Konfigurieren von SAML Single Sign-On für dein Unternehmen

Sie können den Zugriff auf Ihre GitHub Enterprise Server-Instance steuern und sichern, indem SAML Single Sign-On (SSO) über Ihren Identitätsanbieter (IdP) erzwingen.

Wer kann dieses Feature verwenden?

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

In diesem Artikel

Informationen zu SAML SSO

SAML SSO ermöglicht es Ihnen, den Zugriff auf Ihre GitHub Enterprise Server-Instance über Ihren SAML-IdP zentral zu steuern und zu sichern.

Wenn ein nicht authentifizierter Nutzer versucht, sich bei Ihre GitHub Enterprise Server-Instance anzumelden, und Sie die integrierte Authentifizierung deaktiviert haben, leitet GitHub den Nutzer zur Authentifizierung an Ihren SAML-IdP weiter. Nachdem der Benutzer sich erfolgreich mit einem Konto auf dem IdP authentifiziert hat, leitet der IdP den Benutzer zurück zu Ihre GitHub Enterprise Server-Instance. GitHub überprüft die Antwort von Ihrem IdP und gewährt dann Zugriff auf den Benutzer. Die SAML-Sitzung des Benutzers ist 24 Stunden lang im Browser aktiv. Anschließend muss sich die Person erneut bei Ihrem Identitätsanbieter authentifizieren.

Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für Ihre GitHub Enterprise Server-Instance manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen finden Sie unter Benutzer sperren und entsperren.

Unterstützte Identitätsanbieter

GitHub unterstützt die SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.

GitHub unterstützt offiziell die folgenden Identitätsanbietern für SAML und testet diese intern. Weitere Informationen zu den für SCIM unterstützten Identitätsanbietern für GitHub Enterprise Server findest du unter Informationen zur Benutzerbereitstellung mit SCIM auf GitHub Enterprise Server.

  • Microsoft Active Directory-Verbunddienste (AD FS)
  • Microsoft Entra ID (früher Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Weitere Informationen zum Verbinden von Entra-ID mit Ihrem Unternehmen finden Sie unter Tutorial: Microsoft Entra SSO-Integration mit GitHub Enterprise Server in Microsoft-Dokumentation.

Hinweis

GitHub testet oder validiert keine Galerieanwendungen von Identitätsanbietern (IdPs) zur Verwendung in Government Cloud-Umgebungen, einschließlich Microsoft Entra ID Government Cloud und Okta Government Cloud. Authentifizierungs- und SCIM-Bereitstellungsprobleme, die Kataloganwendungen in diesen Umgebungen betreffen, fallen außerhalb GitHubdes Supportumfangs.

Überlegungen zu Benutzernamen bei SAML

GitHub normalisiert einen Wert deines externen Authentifizierungsanbieters, um den Benutzernamen für jedes neue persönliche Konto auf Ihre GitHub Enterprise Server-Instance festzulegen. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Konfigurieren von SAML SSO

Sie können die SAML-Authentifizierung für Ihre GitHub Enterprise Server-Instance aktivieren oder deaktivieren, oder Sie können eine vorhandene Konfiguration bearbeiten. Sie können die Authentifizierungseinstellungen in der VerwaltungskonsoleDatei anzeigen und bearbeiten. Weitere Informationen finden Sie unter Verwalten Ihrer Instanz über die Web-Benutzeroberfläche.

Hinweis

GitHub empfiehlt dringend, alle neuen Konfigurationen im Hinblick auf die Authentifizierung in einer Stagingumgebung zu überprüfen. Eine falsche Konfiguration könnte zu Ausfallzeiten für Ihre GitHub Enterprise Server-Instance führen. Weitere Informationen finden Sie unter Testinstanz einrichten.

  1. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

  2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

  3. Klicke in der Randleiste „ Site admin“ auf Verwaltungskonsole.

  4. Klicke auf der Randleiste unter „Einstellungen“ auf Authentifizierung.

  5. Wähle unter „Authentifizierung“ die Option SAML aus.

  6. Um optional Personen ohne Konto auf deinem externen Authentifizierungssystem mit integrierter Authentifizierung dien anmelden genehmigen zu können, wähle Integrierte Authentifizierung zulassen aus. Weitere Informationen finden Sie unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.

  7. Um SSO mit unaufgeforderter Antwort zu aktivieren, wählen Sie optional die Option IdP initiated SSO (IdP-initiiertes einmaliges Anmelden). Standardmäßig antwortet GitHub Enterprise Server auf eine unaufgeforderte, vom Identity Provider (IdP) initiierte Anfrage mit einem AuthnRequest an den IdP zurück.

    Tipp

    Es wird empfohlen, diesen Wert nicht auszuwählen. Sie sollten diese Funktion nur in dem seltenen Fall aktivieren, dass Ihre SAML-Implementierung kein vom Dienstanbieter initiiertes SSO unterstützt und wenn Ihnen dies von GitHub Enterprise-Support empfohlen wurde.

  8. Wenn Ihr SAML-Anbieter optional keine Administratorrechte für Benutzer Ihre GitHub Enterprise Server-Instancebestimmen soll, wählen Sie "Administratorheraufstufung/Höherstufung deaktivieren" aus.

  9. Optional: Damit Ihre GitHub Enterprise Server-Instance verschlüsselte Assertions von Ihrem SAML-IdP empfangen kann, wählen Sie „Verschlüsselte Assertions anfordern“ aus.

    Du musst dich vergewissern, dass der IdP verschlüsselte Assertionen unterstützt und dass die Verschlüsselungs- und Schlüsseltransportmethoden in der Verwaltungskonsole den für deinen IdP konfigurierten Werten entsprechen. Sie müssen Ihrem IdP auch das öffentliche Zertifikat von Ihre GitHub Enterprise Server-Instance bereitstellen. Weitere Informationen finden Sie unter Aktivieren von verschlüsselten Assertionen.

  10. Gib im Feld Single sign-on URL (URL für einmaliges Anmelden) den HTTP- oder HTTPS-Endpunkt für den IdP für SSO-Anforderungen ein. Dieser Wert wird durch deine IdP-Konfiguration angegeben. Wenn der Host nur über Ihr internes Netzwerk verfügbar ist, müssen Sie möglicherweise so konfigurieren Ihre GitHub Enterprise Server-Instance , dass interne Namenserver verwendet werden.

  11. Gib optional im Feld Issuer (Aussteller) den Namen des SAML-Ausstellers ein. Dadurch wird die Authentizität von Nachrichten überprüft, an die Ihre GitHub Enterprise Server-Instancegesendet werden.

  12. Wählen Sie die Dropdownmenüs "Signaturmethode " und "Digestmethode " aus, und klicken Sie dann auf den Vom SAML-Aussteller verwendeten Hashingalgorithmus, um die Integrität der Anforderungen Ihre GitHub Enterprise Server-Instancezu überprüfen.

  13. Wähle im Dropdown-Menü Namensbezeichnerformat ein Format aus.

  14. Wählen Sie unter „Verification certificate“ die Option Choose File und wählen Sie dann ein Zertifikat aus, um die SAML-Antworten vom Identitätsanbieter zu validieren.

    Hinweis

    GitHub erzwingt nicht das Verfallen dieses SAML-IdP-Zertifikats. Das bedeutet, dass deine SAML-Authentifizierung selbst dann weiterhin funktioniert, wenn dieses Zertifikat abläuft. Wenn Ihr IdP-Administrator jedoch das SAML-Zertifikat neu generiert und Sie es nicht auf der GitHub Seite aktualisieren, tritt bei SAML-Authentifizierungsversuchen aufgrund des Zertifikatkonflikts ein digest mismatch Fehler auf. Siehe Fehler: Digest-Abgleichfehler.

  15. Ändere ggf. unter „Benutzerattribute“ die SAML-Attributnamen entsprechend deinem Identitätsanbieter, oder übernimm die Standardnamen.

Weitere Informationen