Konfigurieren der und -Bereitstellung mit Okta

Erfahren Sie, wie Sie Okta für die Kommunikation mit Ihrem Unternehmen

Wer kann dieses Feature verwenden?

Site administrators with admin access to the IdP

In diesem Artikel

Informationen zur Bereitstellung mit Okta

Wenn Sie Okta als IdP verwenden, können Sie die Anwendung von Okta verwenden, um Benutzerkonten bereitzustellen, die Unternehmensmitgliedschaft zu verwalten und Teammitgliedschaften für Organisationen in Ihrem Unternehmen zu verwalten. Okta ist ein Partner-IdP, sodass Sie Ihre Authentifizierungs- und Bereitstellungskonfiguration mithilfe der Okta-Anwendung zum Verwalten der SAML-Single-Sign-On- und SCIM-Bereitstellung auf GitHub Enterprise Server.

Alternativ dazu können Sie, wenn Sie Okta nur für die SAML-Authentifizierung verwenden und für die Provisionierung einen anderen IdP nutzen möchten, die REST-API von GitHub für SCIM integrieren. Weitere Informationen finden Sie unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Unterstützte Funktionen

GitHub Enterprise Server

unterstützt die folgenden Bereitstellungsfeatures für Okta.

FunktionBESCHREIBUNG
Push neuer BenutzerBenutzer, die in Okta der Anwendung von GitHub zugewiesen sind, werden im Unternehmen auf GitHub automatisch erstellt.
Push-ProfilaktualisierungÄnderungen am Benutzerprofil in Okta werden an GitHub übertragen.
Push-GruppenGruppen in Okta, die der Anwendung alsGitHub Pushgruppen zugewiesen sind, werden automatisch im Unternehmen GitHuberstellt.
Push Benutzer-DeaktivierungWenn Sie die Zuweisung des Benutzers zur Anwendung von GitHub in Okta aufheben, wird der Benutzer bei GitHub deaktiviert. Der Benutzer kann sich nicht anmelden, aber die Informationen des Benutzers werden beibehalten.
Benutzer reaktivierenBenutzer in Okta, deren Okta-Konten reaktiviert werden und die in Okta erneut der GitHub zugewiesen werden, werden aktiviert.

Voraussetzungen

Die allgemeinen Voraussetzungen für die Nutzung von SCIM auf GitHub Enterprise Server gelten. Weitere Informationen findest du im Abschnitt „Voraussetzungen“ unter Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern.

Außerdem:

  • Um SCIM zu konfigurieren, musst du die Schritte 1 bis 4 in Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern abgeschlossen haben.

    • Sie benötigen das für den Einrichtungsbenutzer erstellte personal access token (classic), um Anfragen von Okta zu authentifizieren.

  • Sie müssen die Anwendung von Okta sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.

  • Ihr Okta-Produkt muss System for Cross-Domain Identity Management (SCIM) unterstützen. Wegen weiteren Informationen können Sie die Dokumentation von Okta heranziehen oder sich an das Supportteam von Okta wenden.

1. SAML konfigurieren

Bevor du mit diesem Abschnitt beginnst, solltest du sicherstellen, dass du die Schritte 1 und 2 in Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern befolgt hast.

In Okta

  1. Wechseln Sie zur Anwendung GitHub Enterprise Server in Okta.

  2. Klicke auf Integration hinzufügen.

  3. Geben Sie in den allgemeinen Einstellungen für die Basis-URL Ihre GitHub Enterprise Server Host-URL (https://HOSTNAME.com) ein.

  4. Klicke auf die Registerkarte Sign On (Anmelden).

  5. Stellen Sie sicher, dass die „Anmeldedaten“ mit Folgendem übereinstimmen.

    • „Anwendungsbenutzernamenformat“: Okta-Benutzername
    • „Anwendungsbenutzername aktualisieren bei“: Erstellen und Aktualisieren
    • „Passwort einblenden“: Nicht ausgewählt

  6. Laden Sie im Abschnitt „SAML-Signaturzertifikate“ Ihr Zertifikat herunter, indem Sie Aktionen auswählen und dann auf Zertifikat herunterladen klicken.

  7. Klicken Sie auf der rechten Seite der Seite auf SAML-Setupanweisungen anzeigen.

  8. Notieren Sie sich die „Sign-In-URL“ und die „Herausgeber-URL“.

In GitHub Enterprise Server

  1. Ihre GitHub Enterprise Server-Instance Melden Sie sich als Benutzer mit Zugriff auf die Verwaltungskonsole an.
  2. Konfigurieren Sie SAML mithilfe der gesammelten Informationen. Weitere Informationen findest du unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.

2. SCIM konfigurieren

Nachdem du die SAML-Einstellungen konfiguriert hast, kannst du mit dem Konfigurieren der Bereitstellungseinstellungen fortfahren.

Bevor du mit diesem Abschnitt beginnst, solltest du sicherstellen, dass du die Schritte 1 bis 4 in Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern befolgt hast.

  1. Navigieren Sie zu Ihrer GitHub Enterprise Managed User Anwendung auf Okta.

  2. Klicke auf die Registerkarte Bereitstellung.

  3. Klicke im Einstellungsmenü auf Integration.

  4. Klicke auf Edit (Bearbeiten), um Änderungen vorzunehmen.

  5. Klicke auf API-Integration konfigurieren.

  6. Geben Sie im Feld „API-Token“ das personal access token (classic) des Einrichtungsbenutzers ein.

    Hinweis

    „Gruppen importieren“ wird von GitHub nicht unterstützt. Das Aktivieren oder Deaktivieren des Kontrollkästchens hat keine Auswirkungen auf deine Konfiguration.

  7. Klicke auf API-Anmeldeinformationen testen. Wenn der Test erfolgreich ist, wird oben auf dem Bildschirm eine Überprüfungsmeldung angezeigt.

  8. Klicke zum Speichern des Tokens auf Save (Speichern).

  9. Klicken Sie im Einstellungsmenü auf To App.

  10. Klicke rechts neben „Provisioning to App“ (Bereitstellung für App) auf Edit (Bearbeiten), damit Änderungen vorgenommen werden können.

  11. Wähle rechts von Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren die Option Aktivieren aus.

  12. Klicke auf Speichern (Save), um die Konfiguration der Bereitstellung abzuschließen.

Wenn Sie die Konfiguration von SCIM abgeschlossen haben, möchten Sie möglicherweise einige SAML-Einstellungen deaktivieren, die Sie für den Konfigurationsprozess aktiviert haben. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern.

Wie weise ich Benutzern und Gruppen zu?

Nachdem Sie die Authentifizierung und Bereitstellung konfiguriert haben, können Sie neue Benutzer auf GitHub bereitstellen, indem Sie der GitHub Enterprise Managed UserAnwendungrelevanten Anwendung in Ihrer IdP Benutzer oder Gruppen zuweisen.

Hinweis

Ein Websiteadministrator hat möglicherweise API-Ratenbegrenzungen für Ihre Instanz aktiviert. Bei Überschreitung dieser Schwellenwerte tritt bei der Benutzerbereitstellung möglicherweise ein Ratenlimitfehler auf, und die Bereitstellung ist nicht erfolgreich. Du kannst deine IdP-Protokolle überprüfen, um zu bestätigen, ob versuchte SCIM-Bereitstellungen oder Pushvorgänge aufgrund eines Fehlers bei der Ratenbegrenzung fehlgeschlagen sind. Die Antwort auf einen fehlgeschlagenen Bereitstellungsversuch hängt vom IdP ab. Weitere Informationen findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deines Unternehmens.

Du kannst die Organisationsmitgliedschaft auch automatisch verwalten, indem du Gruppen zur Registerkarte „Push Groups“ in Okta hinzufügst. Wenn die Gruppe erfolgreich bereitgestellt wird, kann sie mit Teams in den Organisationen des Unternehmens verbunden werden. Weitere Informationen zum Verwalten von Teams findest du unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.

Beim Zuweisen von Benutzenden kannst du das Attribut „Roles“ in der Anwendung deines IdP verwenden, um die Rolle eines Benutzers in deinem Unternehmen festzulegen. Weitere Informationen zu den Rollen, die zugewiesen werden können, findest du unter Fähigkeiten von Rollen in einem Unternehmen.

Hinweis

Du kannst das Attribut „Rollen“ nur für einzelne Benutzer festlegen, nicht jedoch für Gruppen. Wenn Sie Rollen für alle Benutzer*innen in einer Gruppe festlegen möchten, die der Anwendung in Okta zugewiesen ist, musst du das Attribut „Rollen“ für jedes Gruppenmitglied einzeln festlegen.

Wie deprovisioniere ich Benutzer und Gruppen?

Um einen Benutzer oder eine Gruppe aus GitHubzu entfernen, entfernen Sie den Benutzer oder die Gruppe aus der Registerkarte "Aufgaben" und der Registerkarte "Pushgruppen" in Okta. Stelle für Benutzer*innen sicher, dass sie aus allen Gruppen auf der Registerkarte „Pushgruppen“ entfernt werden.