Freigeben über

Konfigurieren von GitHub Enterprise Cloud – Enterprise-Konto für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie eine Microsoft Entra SAML-Integration mit einem GitHub Enterprise Cloud - Enterprise-Konto einrichten. Die Integration von GitHub Enterprise Cloud – Enterprise Account mit Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf ein GitHub Enterprise Account und die Organisationen unter dem Enterprise Account hat.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

Szenariobeschreibung

In diesem Artikel konfigurieren Sie eine SAML-Integration für ein GitHub Enterprise-Konto und testen die Authentifizierung und den Zugriff auf Unternehmenskontobesitzer und Enterprise-/Organisationsmitglieder.

Hinweis

Die GitHub-Anwendung Enterprise Cloud - Enterprise Account unterstützt das Aktivieren der automatischen SCIM-Bereitstellung nicht. Wenn Sie die Bereitstellung für Ihre GitHub Enterprise Cloud-Umgebung einrichten müssen, muss SAML auf Organisationsebene konfiguriert werden, und stattdessen muss die Microsoft Entra-Anwendung GitHub Enterprise Cloud - Organization verwendet werden. Wenn Sie eine SAML- und SCIM-Bereitstellungsintegration für ein Unternehmen einrichten, das für unternehmensverwaltete Benutzer (ENTERPRISE Managed Users, EMUs) aktiviert ist, müssen Sie die GitHub Enterprise Managed User Microsoft Entra-Anwendung für SAML/Provisioning-Integrationen oder die GitHub Enterprise Managed User (OIDC) Microsoft Entra-Anwendung für OIDC/Provisioning-Integrationen verwenden.

  • GitHub Enterprise Cloud: Enterprise Account unterstützt SP- und IDP-initiiertes einmaliges Anmelden.

Hinzufügen von GitHub Enterprise Cloud - Enterprise Account aus dem Katalog

Zum Konfigurieren der Integration von GitHub Enterprise Cloud – Enterprise Account in Microsoft Entra ID müssen Sie GitHub Enterprise Cloud – Enterprise Account aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff GitHub Enterprise Cloud - Enterprise Account in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich GitHub Enterprise Cloud - Enterprise Account aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für GitHub Enterprise Cloud – Enterprise Account

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit GitHub Enterprise Cloud – Enterprise Account mithilfe eines Testbenutzers mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in GitHub Enterprise Cloud – Enterprise Account eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit GitHub Enterprise Cloud – Enterprise Account die folgenden Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
    2. Zuweisen Ihres Azure AD-Benutzers und des Testbenutzerkontos zur GitHub-App, um Ihr Benutzerkonto zu aktivieren und das einmalige Anmelden mit Microsoft Entra für den Testbenutzer B.Simon zu testen.
  2. Aktivieren und Testen von SAML für das Enterprise Account und die zugehörigen Organisationen , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren.
    1. Testen des einmaligen Anmeldens mit einem anderen Enterprise Account-Besitzer oder dem Konto eines Mitglieds der Organisation , um zu überprüfen, ob die Konfiguration funktioniert.

Microsoft Entra SSO konfigurieren

Führen Sie die folgenden Schritte aus, um Microsoft Entra SSO zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>GitHub Enterprise Cloud –>.

  3. Auf der Seite Eine Single Sign-On-Methode auswählen wählen Sie SAML aus.

  4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

    Grundlegende SAML-Konfiguration bearbeiten

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

    a) Geben Sie im Textfeld Bezeichner (Entitäts-ID) eine URL im folgenden Format ein: https://github.com/enterprises/<ENTERPRISE-SLUG>.

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://github.com/enterprises/<ENTERPRISE-SLUG>/saml/consume

  6. Führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten:

    Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://github.com/enterprises/<ENTERPRISE-SLUG>/sso.

    Hinweis

    Ersetzen Sie <ENTERPRISE-SLUG> durch den tatsächlichen Namen Ihres GitHub Enterprise Account.

  7. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML", im Abschnitt "SAML-Signaturzertifikat", nach "Zertifikat (Base64)" und wählen Sie "Herunterladen", um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Der Link zum Herunterladen des Zertifikats

  8. Kopieren Sie im Abschnitt GitHub Enterprise Cloud - Enterprise Account einrichten die entsprechenden URLs basierend auf Ihren Anforderungen.

    Konfigurations-URLs kopieren

Erstellen eines Microsoft Entra-Testbenutzers

In diesem Abschnitt erstellen Sie im Azure-Portal einen Testbenutzer mit dem Namen B.Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Navigieren Sie zu Entra-ID-Benutzern>.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie in den Benutzereigenschaften die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Wert B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname den Wert username@companydomain.extension ein. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie dann den Wert, der im Feld Kennwort angezeigt wird.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Wählen Sie "Erstellen" aus.

Zuweisen Ihres Microsoft Entra-Benutzers und des Testbenutzerkontos zur GitHub-App

In diesem Abschnitt aktivieren Sie B.Simon und Ihr Benutzerkonto für die Nutzung des Azure Single Sign-On, indem Sie den Zugriff auf GitHub Enterprise Cloud – Enterprise-Konto gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>GitHub Enterprise Cloud – Enterprise-Konto.
  3. Suchen Sie auf der Übersichtsseite der App den Abschnitt Verwalten, und wählen Sie Benutzer und Gruppenaus.
  4. Wählen Sie Benutzer hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
  5. Wählen Sie im Dialogfeld "Benutzer und Gruppen " "B.Simon " und Ihr Benutzerkonto aus der Liste "Benutzer" und dann unten auf dem Bildschirm die Schaltfläche " Auswählen " aus.
  6. Wenn Sie davon ausgehen, dass den Benutzern eine Rolle zugewiesen wird, können Sie sie aus der Dropdownliste "Rolle auswählen " auswählen. Wenn für diese App keine Rolle eingerichtet wurde, wird die Rolle "Standardzugriff" ausgewählt.
  7. Wählen Sie im Dialogfeld Zuweisung hinzufügen die Schaltfläche Zuweisen aus.

Aktivieren und Testen von SAML für das Enterprise Account und die zugehörigen Organisationen

Führen Sie die Schritte in dieser GitHub-Dokumentation aus, um einmaliges Anmelden aufseiten von GitHub Enterprise Cloud – Enterprise Account zu konfigurieren.

  1. Melden Sie sich bei GitHub.com mit einem Benutzerkonto an, das ein Unternehmenskontobesitzer ist.
  2. Kopieren Sie den Wert aus dem Feld Login URL in der App, und fügen Sie ihn in den SAML-Einstellungen für das GitHub Enterprise Account in das Feld Sign on URL ein.
  3. Kopieren Sie den Wert aus dem Feld Azure AD Identifier in der App, und fügen Sie ihn in den SAML-Einstellungen für das GitHub Enterprise Account in das Feld Issuer ein.
  4. Kopieren Sie den Inhalt der Datei Zertifikat (Base64) , die Sie in den Schritten oben über das Azure-Portal heruntergeladen haben, und fügen Sie sie in den SAML-Einstellungen für das GitHub Enterprise Account in das entsprechende Feld ein.
  5. Wählen Sie die Test SAML configuration Option aus, und bestätigen Sie, dass Sie sich erfolgreich aus dem GitHub Enterprise-Konto bei Microsoft Entra-ID authentifizieren können.
  6. Speichern Sie die Einstellungen, nachdem der Test erfolgreich abgeschlossen wurde.
  7. Nach der erstmaligen Authentifizierung über SAML aus dem GitHub-Unternehmenskonto wird eine verknüpfte externe Identität im GitHub-Unternehmenskonto erstellt, das das angemeldete GitHub-Benutzerkonto mit dem Microsoft Entra-Benutzerkonto verknüpft.

Nachdem Sie das einmalige Anmelden per SAML (SAML SSO) für Ihr GitHub Enterprise Account aktiviert haben, ist SAML SSO standardmäßig für alle Organisationen unter Ihrem Enterprise Account aktiviert. Alle Mitglieder müssen sich mit SAML SSO authentifizieren, um Zugriff auf die Organisationen zu erhalten, in denen sie Mitglied sind, und Unternehmensbesitzer müssen sich beim Zugriff auf ein Unternehmenskonto mithilfe von SAML SSO authentifizieren.

Testen des einmaligen Anmeldens mit einem anderen Enterprise Account-Besitzer oder Konto eines Mitglieds der Organisation

Nachdem die SAML-Integration für das GitHub Enterprise Account eingerichtet wurde (gilt auch für die GitHub-Organisationen unter dem Enterprise Account), sollten auch andere Enterprise Account-Besitzer, die der App in Microsoft Entra ID zugewiesen sind, zur GitHub Enterprise Account-URL (https://github.com/enterprises/<enterprise account>) navigieren können. Sie können dann die Authentifizierung per SAML durchführen und auf die Richtlinien und Einstellungen unter dem GitHub Enterprise Account zugreifen.

Ein Organisationsbesitzer einer Organisation unter einem Enterprise Account sollte einen Benutzer zum Beitreten zu seiner GitHub-Organisation einladen können. Melden Sie sich bei „GitHub.com“ mit einem Konto eines Organisationsbesitzers an, und führen Sie die im Artikel angegebenen Schritte zum Einladen von B.Simon aus. Falls noch kein GitHub-Benutzerkonto existiert, muss eines für B.Simon erstellt werden.

Gehen Sie wie folgt vor, um den Zugriff auf die GitHub-Organisation unter dem Enterprise Account mit dem Konto des Testbenutzers B.Simon zu testen:

  1. Laden Sie B.Simon als Organisationsbesitzer für eine Organisation unter dem Enterprise Account ein.
  2. Melden Sie sich bei „GitHub.com“ mit dem Benutzerkonto an, das Sie mit dem Microsoft Entra-Benutzerkonto von B.Simon verknüpfen möchten.
  3. Melden Sie sich mit dem B.Simon-Benutzerkonto bei Microsoft Entra ID an.
  4. Navigieren Sie zur GitHub-Organisation. Der Benutzer sollte zur erneuten Authentifizierung per SAML aufgefordert werden. Nach dem erfolgreichen Abschluss der SAML-Authentifizierung sollte B.Simon auf die Organisationsressourcen zugreifen können.

Verwandte Inhalte

Nach dem Konfigurieren von GitHub Enterprise Cloud - Enterprise Account können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung geht über den Conditional Access hinaus. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.

  • Last updated on