Enterprise Server 3.20 ist derzeit als Release Candidate verfügbar.

Konfigurieren von SAML Single Sign-On für dein Unternehmen

Sie können den Zugriff auf Ihre GitHub Enterprise Server-Instance durch der Konfiguration des einmaliges Anmeldens mit SAML (SSO) über Ihren Identitätsanbieter (IdP) verwalten und sichern.

Wer kann dieses Feature verwenden?

Site administrators can configure SAML SSO for a GitHub Enterprise Server instance.

In diesem Artikel

Informationen zu SAML SSO

Mit SAML SSO kannst du den Zugriff auf Ihre GitHub Enterprise Server-Instance über deinen SAML-IdP zentral steuern und schützen.

Wenn eine nicht authentifizierte Person versucht, sich bei Ihre GitHub Enterprise Server-Instance anzumelden, und du die integrierte Authentifizierung deaktiviert hast, leitet GitHub die Person zur Authentifizierung an deinen SAML-Identitätsanbieter um. Nachdem der Benutzer sich erfolgreich mit einem Konto beim IdP authentifiziert hat, wird er von diesem wieder an Ihre GitHub Enterprise Server-Instance geleitet. GitHub überprüft die Antwort deines Identitätsanbieters und gewährt dem Benutzer dann Zugriff. Die SAML-Sitzung des Benutzers ist 24 Stunden lang im Browser aktiv. Anschließend muss sich die Person erneut bei Ihrem Identitätsanbieter authentifizieren.

Wenn du bei der JIT-Bereitstellung einen Benutzer aus deinem IdP entfernst, musst du auch das Benutzerkonto für Ihre GitHub Enterprise Server-Instance manuell sperren. Andernfalls kann der Besitzer bzw. die Besitzerin des Kontos sich weiterhin mithilfe der Zugriffstoken oder SSH-Schlüssel authentifizieren. Weitere Informationen finden Sie unter Benutzer sperren und entsperren.

Unterstützte Identitätsanbieter

GitHub unterstützt die SAML-SSO mit Identitätsanbietern, die den SAML 2.0-Standard implementieren. Weitere Informationen findest du im SAML-Wiki auf der OASIS-Website.

GitHub unterstützt offiziell die folgenden Identitätsanbietern für SAML und testet diese intern. Weitere Informationen zu den für SCIM unterstützten Identitätsanbietern für GitHub Enterprise Server findest du unter Informationen zur Benutzerbereitstellung mit SCIM auf GitHub Enterprise Server.

  • Microsoft Active Directory-Verbunddienste (AD FS)
  • Microsoft Entra ID (früher Azure AD)
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Weitere Informationen zum Verbinden von Entra-ID mit Ihrem Unternehmen finden Sie unter Tutorial: Microsoft Entra SSO-Integration mit GitHub Enterprise Server in Microsoft Docs.

Bei Verwendung der Entra-ID für Azure Government haben wir keine unterstützte Partneranwendung.

Überlegungen zu Benutzernamen bei SAML

GitHub normalisiert einen Wert deines externen Authentifizierungsanbieters, um den Benutzernamen für jedes neue persönliche Konto auf Ihre GitHub Enterprise Server-Instance festzulegen. Weitere Informationen finden Sie unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Konfigurieren von SAML SSO

Du kannst die SAML-Authentifizierung für Ihre GitHub Enterprise Server-Instance aktivieren oder deaktivieren oder eine vorhandene Konfiguration bearbeiten. Du kannst die Authentifizierungseinstellungen in der Verwaltungskonsole anzeigen und bearbeiten. Weitere Informationen finden Sie unter Verwalten Ihrer Instanz über die Web-Benutzeroberfläche.

Hinweis

GitHub empfiehlt dringend, alle neuen Konfigurationen im Hinblick auf die Authentifizierung in einer Stagingumgebung zu überprüfen. Eine falsche Konfiguration könnte zu Ausfallzeiten für Ihre GitHub Enterprise Server-Instance führen. Weitere Informationen finden Sie unter Testinstanz einrichten.

  1. Klicke in einem Verwaltungskonto für GitHub Enterprise Server in der rechten oberen Ecke einer beliebigen Seite auf .

  2. Wenn du dich nicht bereits auf der Seite „Websiteadministrator“ befindest, klicke in der oberen linken Ecke auf Websiteadministrator.

  3. Klicke in der Randleiste „ Site admin“ auf Verwaltungskonsole.

  4. Klicke auf der Randleiste unter „Einstellungen“ auf Authentifizierung.

  5. Wähle unter „Authentifizierung“ die Option SAML aus.

  6. Um optional Personen ohne Konto auf deinem externen Authentifizierungssystem mit integrierter Authentifizierung dien anmelden genehmigen zu können, wähle Integrierte Authentifizierung zulassen aus. Weitere Informationen finden Sie unter Zulassen integrierter Authentifizierung für Benutzer*innen außerhalb deines Anbieters.

  7. Um SSO mit unaufgeforderter Antwort zu aktivieren, wählen Sie optional die Option IdP initiated SSO (IdP-initiiertes einmaliges Anmelden). Standardmäßig antwortet GitHub Enterprise Server auf eine unaufgeforderte, von einem Identitätsanbieter (Identity Provider, IdP) initiierte Anforderung durch das Zurücksenden einer AuthnRequest an den IdP.

    Tipp

    Es wird empfohlen, diesen Wert nicht auszuwählen. Du solltest dieses Feature nur dann aktivieren, wenn deine SAML-Implementierung das vom Dienstanbieter initiierte SSO nicht unterstützt und du vom GitHub Enterprise-Support dazu angewiesen wirst.

  8. Optional: Wenn du nicht möchtest, dass der SAML-Anbieter Administratorrechte für Benutzer in Ihre GitHub Enterprise Server-Instance festlegt, wähle Deaktivieren der Herab- oder Höherstufung von Administratoren.

  9. Wenn du optional zulassen möchtest, dass von Ihre GitHub Enterprise Server-Instance verschlüsselte Assertionen vom SAML-IdP empfangen werden, wähle Verschlüsselte Assertionen erforderlich aus.

    Du musst dich vergewissern, dass der IdP verschlüsselte Assertionen unterstützt und dass die Verschlüsselungs- und Schlüsseltransportmethoden in der Verwaltungskonsole den für deinen IdP konfigurierten Werten entsprechen. Du musst dem IdP auch das öffentliche Zertifikat von Ihre GitHub Enterprise Server-Instance bereitstellen. Weitere Informationen finden Sie unter Aktivieren von verschlüsselten Assertionen.

  10. Gib im Feld Single sign-on URL (URL für einmaliges Anmelden) den HTTP- oder HTTPS-Endpunkt für den IdP für SSO-Anforderungen ein. Dieser Wert wird durch deine IdP-Konfiguration angegeben. Wenn der Host nur über das interne Netzwerk verfügbar ist, musst du möglicherweise Ihre GitHub Enterprise Server-Instance so konfigurieren, dass interne Namenserver verwendet werden.

  11. Gib optional im Feld Issuer (Aussteller) den Namen des SAML-Ausstellers ein. Dadurch wird die Authentizität von Nachrichten verifiziert, die an Ihre GitHub Enterprise Server-Instance gesendet werden.

  12. Wählen Sie die Dropdownmenüs Signaturmethode und Digest-Methode und dann den Hashalgorithmus aus, der von Ihrem SAML-Aussteller verwendet wird, um die Integrität der Anforderungen von Ihre GitHub Enterprise Server-Instance zu überprüfen.

  13. Wähle im Dropdown-Menü Namensbezeichnerformat ein Format aus.

  14. Wählen Sie unter „Verification certificate“ die Option Choose File und wählen Sie dann ein Zertifikat aus, um die SAML-Antworten vom Identitätsanbieter zu validieren.

    Hinweis

    GitHub erzwingt nicht den Ablauf des SAML-IdP-Zertifikats. Das bedeutet, dass deine SAML-Authentifizierung selbst dann weiterhin funktioniert, wenn dieses Zertifikat abläuft. Wenn die Administration deines Identitätsanbieters das SAML-Zertifikat jedoch neu generiert und du es nicht auf der Seite von GitHub aktualisierst, tritt bei Benutzenden während der SAML-Authentifizierungsversuche ein digest mismatch-Fehler aufgrund des Zertifikatkonflikts auf. Siehe Fehler: Digest-Abgleichfehler.

  15. Ändere ggf. unter „Benutzerattribute“ die SAML-Attributnamen entsprechend deinem Identitätsanbieter, oder übernimm die Standardnamen.

Weitere Informationen

  •         [AUTOTITLE](/admin/user-management/managing-users-in-your-enterprise/promoting-or-demoting-a-site-administrator) * [AUTOTITLE](/admin/managing-iam/provisioning-user-accounts-with-scim/configuring-scim-provisioning-for-users)