Konfigurieren von GitHub Enterprise Server für einmaliges Anmelden mit Der Microsoft Entra-ID

In diesem Artikel erfahren Sie, wie Sie GitHub Enterprise Server mit Microsoft Entra ID integrieren. Wenn Sie GitHub Enterprise Server mit Microsoft Entra ID integrieren, können Sie:

• Steuern Sie die Microsoft Entra-ID, die Zugriff auf GitHub Enterprise Server hat.
• Ermöglichen Sie es Ihren Benutzern, mit ihren Microsoft Entra-Konten automatisch bei GitHub Enterprise Server angemeldet zu sein.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Um zu beginnen, benötigen Sie die folgenden Elemente:

• Ein Microsoft Entra-Abonnement. Wenn Sie kein Abonnement haben, können Sie ein kostenloses Konto erhalten.
• GitHub Enterprise Server, bereit für die Initialisierung.
• Neben dem Cloudanwendungsadministrator kann der Anwendungsadministrator auch Anwendungen in der Microsoft Entra-ID hinzufügen oder verwalten. Weitere Informationen finden Sie unter Integrierte Azure-Rollen.

Szenariobeschreibung

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

• GitHub Enterprise Server unterstützt SP und IDP initiierte SSO.
• GitHub Enterprise Server unterstützt just In Time-Benutzerbereitstellung .
• GitHub Enterprise Server unterstützt die automatisierte Benutzerbereitstellung.

Hinzufügen von GitHub Enterprise Server aus dem Katalog

Um die Integration von GitHub Enterprise Server in die Microsoft Entra-ID zu konfigurieren, müssen Sie GitHub Enterprise Server aus dem Katalog zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt "Aus Katalog hinzufügen " gitHub Enterprise Server in das Suchfeld ein.
4. Wählen Sie GitHub Enterprise Server aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen und auch die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für GitHub Enterprise Server

Konfigurieren und testen Sie Microsoft Entra SSO mit GitHub Enterprise Server mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, müssen Sie eine Verknüpfungsbeziehung zwischen einem Microsoft Entra-Benutzer und dem zugehörigen Benutzer in GitHub Enterprise Server einrichten.

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO mit GitHub Enterprise Server zu konfigurieren und zu testen:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
2. Konfigurieren Sie GitHub Enterprise Server SSO – um die Einstellungen für einmaliges Anmelden auf Der Anwendungsseite zu konfigurieren.
   1. Erstellen Sie gitHub Enterprise Server-Testbenutzer – um ein Gegenstück von B.Simon in GitHub Enterprise Server zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>GitHub Enterprise Server>Single Sign-On.

3. Auf der Seite Eine Single Sign-On-Methode auswählen wählen Sie SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die folgenden Schritte aus, wenn Sie die Anwendung im initiierten IDP-Modus konfigurieren möchten:

   a) Geben Sie im Textfeld Id (Entitäts-ID) eine URL mit dem folgenden Muster ein: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>

   b. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/saml/consume

6. Wählen Sie "Zusätzliche URLs festlegen" aus, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten:

   Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein: https://<YOUR-GITHUB-ENTERPRISE-SERVER-HOSTNAME>/sso

   Hinweis

   Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das GitHub Enterprise Server Client-Supportteam , um diese Werte abzurufen. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

7. Die GitHub Enterprise Server-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Dazu müssen Sie Ihrer SAML-Tokenattributekonfiguration benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

   

8. Benutzerattribute und Ansprüche bearbeiten.

9. Wählen Sie "Neuen Anspruch hinzufügen " aus, und geben Sie den Namen wie administrator im Textfeld ein (bei dem administrator Wert wird die Groß-/Kleinschreibung beachtet).

10. Erweitern Sie Anspruchsbedingungen , und wählen Sie "Mitglieder " aus dem Benutzertyp aus.

11. Wählen Sie "Gruppen auswählen" aus, und suchen Sie nach der Gruppe , die Sie in diesen Anspruch aufnehmen möchten, wobei ihre Mitglieder Administratoren für GHES sein sollen.

12. Wählen Sie "Attribut " für "Quelle " aus, und geben true Sie (ohne Anführungszeichen) für den Wert ein.

13. Wählen Sie Speichern aus.

    

14. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" das Zertifikat (Base64), und wählen Sie "Herunterladen" aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    

15. Kopieren Sie im Abschnitt "GitHub Enterprise Server einrichten " die entsprechenden URL(n) basierend auf Ihrer Anforderung.

    

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen in der Schnellstartanleitung "Erstellen und Zuweisen eines Benutzerkontos", um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren von GitHub Enterprise Server SSO

Um SSO auf GitHub Enterprise Server-Seite zu konfigurieren, müssen Sie die hier genannten Anweisungen befolgen.

Erstellen eines GitHub Enterprise Server-Testbenutzers

In diesem Abschnitt wird ein Benutzer namens B.Simon in GitHub Enterprise Server erstellt. GitHub Enterprise Server unterstützt die Just-in-Time-Benutzerbereitstellung, die standardmäßig aktiviert ist. Es gibt kein Aktionselement für Sie in diesem Abschnitt. Wenn ein Benutzer noch nicht in GitHub Enterprise Server vorhanden ist, wird nach der Authentifizierung ein neuer erstellt.

GitHub Enterprise Server unterstützt auch die automatische Benutzerbereitstellung. Weitere Details finden Sie hier zum Konfigurieren der automatischen Benutzerbereitstellung.

Testen von SSO

In diesem Abschnitt testen Sie Ihre Microsoft Entra Single Sign-On-Konfiguration mit den folgenden Optionen.

SP initiiert:

• Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur GitHub Enterprise Server-Anmelde-URL um, unter der Sie den Anmeldefluss initiieren können.

• Wechseln Sie direkt zur GitHub Enterprise Server-Anmelde-URL, und initiieren Sie den Anmeldefluss von dort aus.

IDP initiiert:

• Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch beim GitHub Enterprise Server angemeldet sein, für den Sie das SSO einrichten.

Sie können auch Microsoft My Apps verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die GitHub Enterprise Server-Kachel in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite umgeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert ist, sollten Sie automatisch beim GitHub Enterprise Server angemeldet sein, für den Sie das SSO einrichten. Weitere Informationen finden Sie unter Microsoft Entra My Apps.

Verwandte Inhalte

• Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern.

• Nachdem Sie GitHub Enterprise Server konfiguriert haben, können Sie die Sitzungskontrolle erzwingen, wodurch Exfiltration und Infiltration der vertraulichen Daten Ihrer Organisation in Echtzeit geschützt werden. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.