Tutorial: Integration des einmaligen Anmeldens (SSO) von Microsoft Entra mit GitHub Enterprise Managed User

In diesem Tutorial erfahren Sie, wie Sie GitHub Enterprise Managed User (EMU) in Microsoft Entra ID integrieren. Die Integration von GitHub Enterprise Managed User in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf GitHub Enterprise Managed User hat.
  • Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei GitHub Enterprise Managed User anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Hinweis

GitHub Enterprise Managed Users ist ein Feature von GitHub Enterprise Cloud, das sich von der standardmäßigen SAML-SSO-Implementierung von GitHub Enterprise unterscheidet. Wenn Sie die EMU-Instanz nicht speziell angefordert haben, verfügen Sie über einen normalen GitHub Enterprise-Plan. Lesen Sie in diesem Fall die entsprechende Dokumentation, um Ihre Nicht-EMU-Organisation oder Ihr Nicht-EMU-Unternehmenskonto für die Authentifizierung bei Microsoft Entra ID zu konfigurieren.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • SSO-fähiges GitHub Enterprise Managed User-Abonnement

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • GitHub Enterprise Managed User unterstützt durch SP- und IDP initiiertes einmaliges Anmelden.
  • Für GitHub Enterprise Managed User ist die automatische Benutzerbereitstellung erforderlich.

Zum Konfigurieren der Integration von GitHub Enterprise Managed User in Microsoft Entra ID müssen Sie GitHub Enterprise Managed User aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie in das Suchfeld GitHub Enterprise Managed User ein.
  4. Wählen Sie im Ergebnisbereich GitHub Enterprise Managed User aus, und klicken Sie dann auf die Schaltfläche Erstellen. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra-SSO für GitHub Enterprise Managed User

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit GitHub Enterprise Managed User die folgenden Schritte aus:

  1. Konfigurieren sie Microsoft Entra einmaliges Anmelden, um SAML-Single Sign-On in Ihrem Microsoft Entra Mandanten zu aktivieren.
  2. Konfigurieren des einmaligen Anmeldens für GitHub Enterprise Managed User , um die Einstellungen für einmaliges Anmelden in Ihrer GitHub Enterprise-Instanz zu konfigurieren.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>GitHub Enterprise Managed User>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Screenshot: Bearbeiten der grundlegenden SAML-Konfiguration

  5. Stellen Sie sicher, dass Sie die URL Ihrer Enterprise-Instanz kennen, bevor Sie beginnen. Das unten genannte Feld „ENTITÄT“ enthält den Unternehmensnamen Ihrer EMU-fähigen Enterprise-URL, beispielsweise https://github.com/enterprises/contoso - contoso als ENTITÄT. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte in die folgenden Felder ein, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

    a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://github.com/enterprises/<ENTITY>

    Hinweis

    Beachten Sie, dass sich das Bezeichnerformat von dem von der Anwendung vorgeschlagenen Format unterscheidet. Sie müssen jedoch das oben genannte Format verwenden. Stellen Sie außerdem sicher, dass der **Bezeichner keinen nachstehenden Schrägstrich enthält.

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://github.com/enterprises/<ENTITY>/saml/consume

  6. Klicken Sie auf Zusätzliche URLs festlegen, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten:

    Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://github.com/enterprises/<ENTITY>/sso

  7. Suchen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten im Abschnitt SAML-Signaturzertifikat nach Zertifikat (PEM). Wählen Sie PEM-Zertifikat herunterladen aus, um das Zertifikat herunterzuladen, und speichern Sie es auf Ihrem Computer.

    Screenshot: Link zum Herunterladen des Zertifikats

  8. Kopieren Sie im Abschnitt Einrichten von GitHub Enterprise Managed User die unten angegebenen URLs, und speichern Sie sie für die spätere Konfiguration von GitHub.

    Screenshot: Kopieren einer der Konfiguration entsprechenden URL.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt weisen Sie GitHub Enterprise Managed User Ihr Konto zu, um das Einrichten des einmaligen Anmeldens abzuschließen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>GitHub Enterprise Managed User.
  3. Navigieren Sie auf der Übersichtsseite der App zum Abschnitt Verwalten, und wählen Sie Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
  5. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ Ihr Konto aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
  6. Wählen Sie im Dialogfeld Rolle auswählen die Rolle Unternehmensbesitzer aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen. Ihr Konto wird Ihrer GitHub-Instanz als Unternehmensbesitzer zugewiesen, wenn Sie im nächsten Tutorial Ihr Konto bereitstellen.
  7. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für GitHub Enterprise Managed User

Zum Konfigurieren des einmaligen Anmeldens für GitHub Enterprise Managed User benötigen Sie Folgendes:

  1. Die oben genannten URLs aus Ihrer Microsoft Entra Enterprise Managed User-Anwendung: Anmelde-URL; Microsoft Entra-Bezeichner und Abmelde-URL
  2. Kontoname und Kennwort für den ersten Administratorbenutzer Ihrer GitHub Enterprise-Instanz. Die Anmeldeinformationen werden über eine E-Mail für die Kennwortzurücksetzung von Ihrem GitHub Solutions Engineering-Kontakt bereitgestellt.

Konfigurieren von SAML-SSO für GitHub Enterprise Managed User

In diesem Abschnitt verwenden Sie die oben von Microsoft Entra ID bereitgestellten Informationen und geben sie in Ihre Enterprise-Einstellungen ein, um die SSO-Unterstützung zu aktivieren.

  1. Besuchen Sie https://github.com.
  2. Klicken Sie in der oberen rechten Ecke auf „Anmelden“.
  3. Geben Sie die Anmeldeinformationen für das erste Administratorbenutzerkonto ein. Das Anmeldehandle sollte folgendes Format haben: <your enterprise short code>_admin
  4. Navigieren Sie zu https://github.com/enterprises/ <your enterprise name>. Diese Informationen sollten von Ihrem Solution Engineering-Kontakt bereitgestellt werden.
  5. Wählen Sie im Navigationsmenü auf der linken Seite die Option Einstellungen aus, und wählen Sie dann Authentifizierungssicherheit aus.
  6. Aktivieren Sie das Kontrollkästchen SAML-Authentifizierung erforderlich.
  7. Geben Sie die Anmelde-URL ein. Diese URL ist die Anmelde-URL, die Sie oben aus Microsoft Entra ID kopiert haben.
  8. Geben Sie den Zertifikataussteller ein. Diese URL ist der Microsoft Entra-Bezeichner, den Sie aus Microsoft Entra ID oben kopiert haben.
  9. Geben Sie das öffentliche Zertifikat ein. Öffnen Sie das zuvor heruntergeladene base64-Zertifikat, und fügen Sie den Textinhalt dieser Datei in dieses Dialogfeld ein.
  10. Klicken Sie auf SAML-Konfiguration testen. Dadurch wird ein Dialogfeld geöffnet, in dem Sie sich mit Ihren Microsoft Entra-Anmeldeinformationen anmelden können, um zu überprüfen, ob SAML-SSO ordnungsgemäß konfiguriert ist. Melden Sie sich mit Ihren Microsoft Entra-Anmeldeinformationen an. Sie erhalten die Meldung Erfolgreich: Ihre SAML-SSO-Identität nach erfolgreicher Überprüfung erfolgreich authentifiziert.
  11. Klicken Sie auf Speichern, um diese Einstellungen zu speichern.
  12. Sie sollten die Wiederherstellungscodes an einem sicheren Ort speichern (herunterladen, drucken oder kopieren).
  13. Klicken Sie auf SAML-Authentifizierung aktivieren.
  14. An diesem Punkt können sich nur Konten mit SSO bei Ihrem Unternehmen anmelden. Befolgen Sie die Anweisungen zur Bereitstellung im folgenden Dokument, um Konten mit SSO-Unterstützung bereitzustellen.

Nächste Schritte

GitHub Enterprise Managed User setzt die Bereitstellung aller Konten über die automatisierte Benutzerbereitstellung voraus. Weitere Informationen zum Konfigurieren der automatischen Benutzerbereitstellung finden Sie hier.