Konfigurieren von SAML Single Sign-On für verwaltete Enterprise-Benutzer*innen

          **Bevor** du die Schritte in diesem Artikel ausführst, vergewissere dich, dass dein Unternehmen **verwaltete Benutzende** verwendet und dass du als benutzende Person für das Setup angemeldet bist, deren Benutzername der Kurzcode deines Unternehmens mit dem Suffix `_admin` ist. Um zu überprüfen, ob Sie mit dem richtigen Benutzer angemeldet sind, sehen Sie nach, ob die Unternehmensansicht eine Kopfzeile am oberen Bildschirmrand mit der Beschriftung „Viewing as SHORTCODE_admin“ hat. Wenn du dies siehst, bist du mit dem richtigen Benutzer angemeldet und kannst die Schritte in diesem Artikel befolgen. Weitere Informationen zum Setupbenutzer findest du unter [AUTOTITLE](/admin/managing-iam/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users).

Werden in Ihrem Unternehmen persönliche Konten verwendet, müssen Sie einem anderen Prozess zum Konfigurieren von SAML-Single Sign-on folgen. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

Informationen zu SAML SSO für Enterprise Managed Users

Mit Enterprise Managed Users muss der Zugriff auf die Ressourcen Ihres Unternehmens auf GitHub.com oder GHE.com über Ihren Identitätsanbieter (IdP) authentifiziert werden. Anstatt sich mit einem GitHub Benutzernamen und Kennwort anzumelden, melden sich Mitglieder Ihres Unternehmens über Ihren IdP an.

Nach der Konfiguration von SAML SSO wird empfohlen, die Wiederherstellungscodes zu speichern, damit Sie den Zugriff auf Ihr Unternehmen wiederherstellen können, falls Ihr IdP nicht verfügbar ist.

Wenn du derzeit SAML SSO für die Authentifizierung verwendest, lieber OIDC verwenden und von der CAP-Unterstützung profitieren möchtest, kannst du einem Migrationspfad folgen. Weitere Informationen finden Sie unter Migrieren von SAML zu OIDC.

Voraussetzungen

Verstehen Sie die Integrationsanforderungen und das Unterstützungsniveau für Ihren Identitätsanbieter.
- ```
          GitHub bietet eine "Paved-Path"-Integration und vollständigen Support, wenn Sie einen **Partner-IdP** sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.
```
- Alternativ können Sie ein beliebiges System oder jede Kombination von Systemen verwenden, die SAML 2.0 und SCIM 2.0 entsprechen. Die Unterstützung für die Lösung von Problemen mit diesen Systemen kann jedoch eingeschränkt sein.
Ausführlichere Informationen findest du unter Informationen zu Enterprise Managed Users.
Ihr IdP muss der SAML 2.0-Spezifikation entsprechen. Siehe das SAML-Wiki auf der OASIS-Website.
Sie müssen als Mandantenadministrator Zugriff auf Ihren IdP haben.
Wenn Sie SAML-SSO für ein neues Unternehmen konfigurieren, müssen Sie alle vorherigen Schritte bei der Erstkonfiguration ausführen. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.

Konfigurieren von SAML-SSO für Enterprise Managed Users

Um SAML-SSO für Ihr Unternehmen mit verwalteten Benutzer*innen zu konfigurieren, müssen Sie eine Anwendung auf Ihrem IdP einrichten und dann Ihre Unternehmenseinstellungen bei GitHub anpassen. Nach der Konfiguration von SAML SSO können Sie die Benutzerbereitstellung konfigurieren.

       [Konfigurieren Sie Ihren IdP](#configure-your-idp)

       [Konfigurieren Sie Ihr Unternehmen](#configure-your-enterprise)

       [Aktivieren der Bereitstellung](#enable-provisioning)

Konfigurieren Sie Ihren IdP

Wenn Sie einen Partner-IdP verwenden, klicken Sie zum Installieren der GitHub Enterprise Managed User Anwendung auf den Link für IdP und Umgebung.
Identitätsanbieter App für GitHub.com App für GHE.com
Microsoft Entra ID GitHub Enterprise Managed User GitHub Enterprise Managed User
Okta GitHub Enterprise Managed User
```
       [
       GitHub Enterprise Managed User - ghe.com](https://www.okta.com/integrations/github-enterprise-managed-user-ghe-com/) |
```
| PingFederate | Website für PingFederate-Downloads (Navigieren Sie zur Registerkarte "Add-Ons ", und wählen Sie GitHub dann EMU Connector 1.0 aus. | Website für PingFederate-Downloads (Navigieren Sie zur Registerkarte "Add-Ons ", und wählen Sie GitHub dann EMU Connector 1.0 aus. |
Um SAML-SSO für Enterprise Managed Users bei einem Partner-IdP zu konfigurieren, lesen Sie die entsprechende Dokumentation für Ihren IdP und Ihre Umgebung.
Identitätsanbieter Dokumentation für GitHub.com Dokumentation für GHE.com
Microsoft Entra ID
```
       [Microsoft Learn](https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/github-enterprise-managed-user-tutorial) | 
       [Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity/saas-apps/github-enterprise-managed-user-ghe-com-tutorial) |
```
| Okta | Konfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innen | Konfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innen | | PingFederate | Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate („Voraussetzungen“ und „1. Konfigurieren von SAML“) | Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate („Voraussetzungen“ und „1. Konfigurieren von SAML“) |
Alternativ können Sie, wenn Sie keinen Partner-IdP verwenden, den SAML-Konfigurationsverweis GitHub verwenden, um eine generische SAML 2.0-Anwendung auf Ihrem IdP zu erstellen und zu konfigurieren. Weitere Informationen findest du unter Referenz zur SAML-Konfiguration.
Um Ihr Unternehmen zu testen und zu konfigurieren, weisen Sie sich selbst oder dem Benutzer, der SAML SSO für Ihr Unternehmen auf GitHub konfigurieren wird, die Anwendung zu, die Sie für Enterprise Managed Users auf Ihrem IdP konfiguriert haben.

Hinweis

Um nach der Konfiguration eine erfolgreiche Authentifizierungsverbindung zu testen, muss dem IdP mindestens ein Benutzer zugewiesen werden.

Identitätsanbieter	App für GitHub.com	App für GHE.com
Microsoft Entra ID	GitHub Enterprise Managed User	GitHub Enterprise Managed User
Okta	GitHub Enterprise Managed User

Identitätsanbieter	Dokumentation für GitHub.com	Dokumentation für GHE.com
Microsoft Entra ID

Um mit der Konfiguration Ihres Unternehmens auf GitHub fortzufahren, suchen Sie die folgenden Informationen aus der Anwendung, die Sie auf Ihrem IdP installiert haben, und notieren Sie diese.

Wert	Andere Namen	BESCHREIBUNG
Anmelde-URL des IdP	Anmelde-URL, IdP-URL	Anwendungs-URL bei deinem IdP
Bezeichner-URL des IdP	Aussteller	Bezeichner des IdP für Dienstanbieter bei der SAML-Authentifizierung
Signaturzertifikat, PEM-codiert	Öffentliches Zertifikat	Öffentliches Zertifikat, das der IdP zum Signieren von Authentifizierungsanforderungen verwendet

Konfigurieren Sie Ihr Unternehmen

Nachdem Sie SAML SSO für Enterprise Managed Users auf Ihrem IdP konfiguriert haben, können Sie Ihr Unternehmen unter GitHub konfigurieren.

Nach der Erstkonfiguration von SAML-SSO ist das SAML-Zertifikat die einzige Einstellung, die Sie für Ihre vorhandene SAML-Konfiguration auf GitHub aktualisieren können, und dies kann von jedem Mitglied mit der Rolle "Unternehmensbesitzer" durchgeführt werden. Wenn Sie die Anmelde-URL oder die Aussteller-URL aktualisieren müssen, müssen Sie zuerst SAML SSO deaktivieren und dann SAML SSO mit den neuen Einstellungen erneut konfigurieren. Weitere Informationen finden Sie unter Deaktivieren der Authentifizierung für Enterprise Managed Users.

Melde dich als Setupbenutzer für dein Unternehmen mit dem Benutzernamen SHORTCODE_admin an, und ersetze SHORTCODE durch den Kurzcode deines Unternehmens.

Hinweis

Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Support an den GitHub-Supportportal. Die übliche Option für die Kennwortzurücksetzung (E-Mail-Adresse angeben) funktioniert nicht.
Wenn du einen IdP für keine Partner verwendest (ein anderer IdP als Okta, PingFederate oder Entra-ID), musst du vor der SAML-Aktivierung eine Einstellung aktualisieren, damit du SCIM mithilfe der REST-API einrichten kannst. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.
Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
Klicke oben auf der Seite auf Identity provider.
Klicke unter Identity Provider auf Single sign-on configuration.
Wähle unter „SAML single sign-on“ die Option Add SAML configuration aus.
Geben Sie unter Anmelde-URL den HTTPS-Endpunkt Ihres IdP für SSO-Anfragen ein, den Sie bei der Konfiguration Ihres IdP notiert haben.
Geben Sie unter Aussteller die SAML-Aussteller-URL ein, die Sie bei der Konfiguration des IdP notiert haben, um die Authentizität gesendeter Nachrichten zu überprüfen.

Füge unter Öffentliches Zertifikat das Zertifikat ein, das du dir bei der Konfiguration des IdP notiert hast, um SAML-Antworten zu überprüfen.

Hinweis

       GitHub erzwingt nicht das Verfallen dieses SAML-IdP-Zertifikats. Das bedeutet, dass deine SAML-Authentifizierung selbst dann weiterhin funktioniert, wenn dieses Zertifikat abläuft. Es wird jedoch empfohlen, das Zertifikat gemäß den Empfehlungen von GitHub zu aktualisieren, bevor es abläuft. Wir akzeptieren eine SAML-Antwort, die mit einem abgelaufenen Zertifikat signiert ist. Wir können jedoch nicht kommentieren, wie der Ablauf des Zertifikats auf der Ebene des Identitätsanbieters behandelt wird. Wenn Ihr IdP-Administrator das SAML-Zertifikat neu generiert und Sie es nicht auf der GitHub-Seite aktualisieren, tritt bei Benutzern aufgrund des Zertifikatkonflikts bei SAML-Authentifizierungsversuchen ein `digest mismatch`-Fehler auf. Siehe [Fehler: Digest-Abgleichfehler](/admin/managing-iam/using-saml-for-enterprise-iam/troubleshooting-saml-authentication#error-digest-mismatch).

Wähle im selben Abschnitt Public Certificate die Dropdownmenüs Signature Method und Digest Method aus, und klicke anschließend auf den Hashalgorithmus, der von deinem SAML-Zertifikataussteller verwendet wird.
Klicke auf SAML-Konfiguration testen, bevor du SAML SSO für dein Unternehmen aktivierst, um dich zu vergewissern, dass die eingegebenen Informationen korrekt sind. Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.
Klicken Sie auf Save SAML settings (SAML-Einstellungen speichern).

Hinweis

Nachdem Sie SAML-SSO für Ihr Unternehmen als erforderlich festgelegt und die SAML-Einstellungen gespeichert haben, wird der Konfigurationsbenutzer weiterhin ununterbrochen Zugriff auf das Unternehmen haben und bleibt auch bei GitHub angemeldet, zusammen mit dem verwaltete Benutzerkonten von Ihrem IdP bereitgestellten Benutzer, der ebenfalls Zugriff auf das Unternehmen hat.
Um sicherzustellen, dass Sie weiterhin unter GitHub auf Ihr Unternehmen zugreifen können, wenn Ihr IdP in Zukunft nicht verfügbar sein sollte, klicken Sie auf Herunterladen, Drucken oder Kopieren, um Ihre Wiederherstellungscodes zu speichern. Weitere Informationen finden Sie unter Herunterladen der SSO-Wiederherstellungscodes für dein Unternehmenskonto.

Aktivieren der Bereitstellung

Nach der SAML SSO-Aktivierung kannst du die Bereitstellung aktivieren. Weitere Informationen finden Sie unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.

Aktivieren von Gast-Projektmitarbeiter*innen

Mit der Rolle des Gast-Projektmitarbeiters können Sie Anbietern und Auftragnehmern in Ihrem Unternehmen begrenzten Zugriff gewähren. Im Gegensatz zu Unternehmensmitgliedern haben Gastmitarbeiter nur Zugriff auf interne Repositorys innerhalb von Organisationen, in denen sie Mitglied sind.

Wenn Sie Entra ID oder Okta für die SAML-Authentifizierung verwenden, müssen Sie Ihre IdP-Anwendung möglicherweise aktualisieren, um Gast-Projektmitarbeiter zu verwenden. Weitere Informationen finden Sie unter Aktivieren von Gast-Projektmitarbeitern.