SAML Single Sign-On für deine Organisation aktivieren und testen

Inhaber und Administratoren von Organisationen können SAML Single-Sign-On aktivieren, um eine zusätzliche Sicherheitsebene für die Organisation zu schaffen.

In diesem Artikel

Informationen zu SAML SSO

Du kannst SAML SSO in Deiner Organisation aktivieren, ohne die Verwendung für alle Mitglieder vorzuschreiben. Wenn Du SAML SSO für Deine Organisation aktivierst, aber nicht erzwingst, förderst Du die Annahme dieser Funktion. Sobald die Mehrheit der Organisationsmitglieder SAML SSO verwendet, kannst Du die Nutzung in Deiner Organisation vorschreiben.

Hinweis

Für das Verwenden von SAML Single Sign-On muss deine Organisation GitHub Enterprise Cloud nutzen. Weitere Informationen zum kostenlosen Testen von GitHub Enterprise Cloud findest du unter Eine Testversion von GitHub Enterprise Cloud einrichten.

Wenn Du SAML SSO aktivierst, aber nicht erzwingst, können Organisationsmitglieder, die SAML SSO nicht verwenden, trotzdem Mitglieder der Organisation bleiben. Weitere Informationen zum Erzwingen von SAML SSO findest du unter Erzwingen der einmaligen SAML-Anmeldung für deine Organisation.

Hinweis

Die SSO-Authentifizierung ist für externe Mitarbeitende nicht erforderlich. Weitere Informationen zu externen Projektmitarbeitern findest du unter Rollen in einer Organisation.

Wenn das SAML-SSO deaktiviert ist, werden alle verknüpften externen Identitäten aus GitHub entfernt.

Nach dem Aktivieren des einmaligen Anmeldens von SAML müssen OAuth app- und GitHub App-Autorisierungen möglicherweise widerrufen und erneut authentifiziert werden, bevor sie auf die Organisation zugreifen können. Weitere Informationen finden Sie unter Autorisieren von OAuth-Apps.

SAML Single Sign-On für deine Organisation aktivieren und testen

Bereite vor dem Erzwingen von SAML SSO in deiner Organisation die Organisation unbedingt darauf vor. Weitere Informationen finden Sie unter Auf die Erzwingung von SAML Single Sign-On in Ihrer Organisation vorbereiten.

Weitere Informationen zu den Identitätsanbietern (Identity Providers, IdPs), die GitHub für SAML SSO unterstützt, findest du unter Verbinden deines Identitätsanbieters mit deiner Organisation.

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentication security.

  4. Aktiviere unter „SAML Single Sign-On“ das Kontrollkästchen Enable SAML authentication.

    Hinweis

    Nachdem du SAML-SSO aktiviert hast, kannst du deine Single Sign-On-Wiederherstellungscodes herunterladen, mit denen du auch dann auf deine Organisation zugreifen kannst, wenn dein IdP nicht verfügbar ist. Weitere Informationen finden Sie unter Herunterladen der Wiederherstellungscodes deiner Organisation für die einmalige SAML-Anmeldung.

  5. Gib im Feld „Sign on URL“ (Sign-On-URL) den HTTPS-Endpunkt Deines IdP für Single Sign-On-Anforderungen ein. Diesen Wert findest Du in der IdP-Konfiguration.

  6. Gib optional im Feld „Issuer“ (Aussteller) den Namen Deines SAML-Ausstellers ein. Dadurch wird die Authentizität versendeter Nachrichten verifiziert.

    Hinweis

    Wenn du die Teamsynchronisierung für deine Organisation aktivieren möchtest, muss das Feld „Issuer“ ausgefüllt werden. Weitere Informationen finden Sie unter Verwalten der Teamsynchronisierung für deine Organisation.

  7. Füge unter „Public Certificate“ ein Zertifikat ein, um SAML-Antworten zu verifizieren.

    Hinweis

    GitHub erzwingt nicht den Ablauf dieses Zertifikats für den SAML-Identitätsanbieter. Das bedeutet, dass deine SAML-Authentifizierung selbst dann weiterhin funktioniert, wenn dieses Zertifikat abläuft. Wenn die Administration deines Identitätsanbieters das SAML-Zertifikat jedoch neu generiert und du es nicht auf der Seite von GitHub aktualisierst, tritt bei Benutzenden während der SAML-Authentifizierungsversuche ein digest mismatch-Fehler aufgrund des Zertifikatkonflikts auf. Weitere Informationen findest du unter Fehler: Digestkonflikt.

  8. Klicke unter deinem öffentlichen Zertifikat rechts neben den aktuellen Signatur- und Digestmethoden auf .

    Screenshot der aktuellen Signaturmethode und Digestmethode in den SAML-Einstellungen. Das Stiftsymbol ist mit einem orangefarbenen Umriss hervorgehoben.

  9. Wähle dann in den Dropdownmenüs Signaturmethode und Digestmethode den Hashalgorithmus aus, den dein SAML-Aussteller verwendet.

  10. Klicke auf SAML-Konfiguration testen, bevor du SAML-SSO für deine Organisation aktivierst, um sicherzustellen, dass die eingegebenen Informationen korrekt sind. Dieser Test verwendet eine vom Dienstanbieter initiierte (SP-initiierte) Authentifizierung, die erfolgreich sein muss, damit die SAML-Einstellungen gespeichert werden können.

    Tipp

    Wenn du SAML SSO in deiner Organisation einrichtest, kannst du deine Implementierung testen, ohne dass sich dies auf deine Organisationsmitglieder auswirkt. Lasse dazu Require SAML SSO authentication for all members of the organization name organization (SAML SSO-Authentifizierung für alle Mitglieder der Organisation „Organisationsname“ vorschreiben) deaktiviert.

  11. Um SAML SSO zu erzwingen und alle Organisationsmitglieder, die sich nicht über deinen IdP authentifiziert haben, zu entfernen, wähle SAML SSO-Authentifizierung für alle Mitglieder der Organisation Organisationsname vorschreiben aus. Weitere Informationen zum Erzwingen von SAML SSO findest du unter Erzwingen der einmaligen SAML-Anmeldung für deine Organisation.

  12. Klicken Sie auf Speichern.

Weiterführende Themen