Informationen zu Enterprise Managed Users

Erfahren Sie, wie Ihr Unternehmen den Lebenszyklus und die Authentifizierung von Benutzern mit GitHub von Ihrem Identitätsanbieter (IdP) verwalten kann.

In diesem Artikel

Was sind Benutzer, die vom Unternehmen in GitHub verwaltet werden?

Mit Enterprise Managed Users können Sie den Lebenszyklus und die Authentifizierung Ihrer Benutzenden auf GitHub.com oder GHE.com verwalten und dafür ein externes Identitätsverwaltungssystem oder einen externen Identitäsanbieter nutzen:

  • Ihr IdP stellt neue Benutzerkonten GitHub bereit, die Zugriff auf Ihr Unternehmen haben.
  • Benutzende müssen sich bei Ihrem IDP authentifizieren, um auf die Ressourcen Ihres Unternehmens auf GitHub zuzugreifen.
  • Sie steuern Benutzernamen, Profildaten, Unternehmensmitgliedschaft und Repositoryzugriff über den IdP.
  • Wenn Ihr Unternehmen OIDC SSO verwendet, überprüft GitHub den Zugriff auf Ihr Unternehmen und seine Ressourcen mithilfe der Richtlinie für bedingten Zugriffs (Conditional Access Policy, CAP) Ihres IdP. Weitere Informationen findest du unter Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff.
  • Verwaltete Benutzerkonten können keine öffentlichen Inhalte erstellen oder außerhalb Ihres Unternehmens zusammenarbeiten. Weitere Informationen findest du unter Fähigkeiten und Einschränkungen von verwalteten Benutzerkonten.

Hinweis

Enterprise Managed Users ist nicht die beste Lösung für jeden Kunden. Weitere Informationen dazu, ob dies für dein Unternehmen geeignet ist, findest du unter Auswählen eines Unternehmenstyps für GitHub Enterprise Cloud.

Wie lässt sich EMUs in Identitätsverwaltungssysteme integrieren?

GitHub arbeitet mit einigen Entwicklern von Identitätsverwaltungssystemen an einer vorgefertigten Integration mit Enterprise Managed Users. Um Ihre Konfiguration zu vereinfachen und die vollständige Unterstützung sicherzustellen, nutzen Sie einen einzelnen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung.

Was sind Partneridentitätsanbieter?

Partner-IDPs stellen die Authentifizierung mithilfe von SAML oder OIDC bereit und stellen die Bereitstellung mit System for Cross-Domain Identity Management (SCIM) bereit.

Partner-IdPSAMLOIDCSCIM
Entra ID
Okta
PingFederate

Wenn Sie einen einzelnen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden, bietet GitHub Unterstützung für die Anwendung auf dem Partner-IdP sowie die Integration von IdPs mit GitHub.

Kann ich andere Identitätsverwaltungssysteme als die unterstützten Partner verwenden?

Wenn Sie nicht einen einzigen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden können, können Sie ein anderes Identitätsmanagementsystem oder eine Kombination von Systemen verwenden. Das System muss:

  • Die Integrationsrichtlinien von GitHub einhalten
  • Eine Authentifizierung mithilfe von SAML gemäß der Spezifikation SAML 2.0 ermöglichen
  • Biete eine Benutzerlebenszyklusverwaltung mithilfe von SCIM an, die der SCIM 2.0-Spezifikation entspricht und mit der REST-API von GitHub kommuniziert. Weitere Informationen findest du unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Wie werden Benutzernamen und Profilinformationen für EMUs verwaltet?

GitHub erstellt automatisch einen Benutzernamen für jeden Entwickler durch Normalisierung eines von Ihrem IdP bereitgestellten Bezeichners. Wenn die eindeutigen Teile des Bezeichners während der Normalisierung entfernt werden, kann ein Konflikt auftreten. Weitere Informationen findest du unter Überlegungen zum Benutzernamen für die externe Authentifizierung.

Der Profilname und die E-Mail-Adresse von einem verwaltetes Benutzerkonto wird vom IdP bereitgestellt:

  • Verwaltete Benutzerkonten können ihren Profilnamen oder ihre E-Mail-Adresse auf GitHub nicht ändern.
  • Der IdP kann nur eine E-Mail-Adresse angeben.
  • Wenn du die E-Mail-Adresse eines Benutzers in deinem IdP änderst, wird die Verknüpfung mit dem Beitragsverlauf, der der alten E-Mail-Adresse zugeordnet ist, aufgehoben.

Wie werden Rollen und Zugriff für EMUs verwaltet?

Auf Ihrem IdP können Sie jedem verwaltetes Benutzerkonto eine Rolle in Ihrem Unternehmen, z. B. Mitglied, Besitzer oder Gastmitarbeiter, zuweisen. Weitere Informationen findest du unter Fähigkeiten von Rollen in einem Unternehmen.

Organisationsmitgliedschaften (und Repository-Zugriff) können manuell verwaltet oder automatisch mithilfe von IdP-Gruppen aktualisiert werden. Weitere Informationen findest du unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.

Wie authentifizieren sich verwaltete Benutzerkonten bei GitHub?

Die Speicherorte, an denen verwaltete Benutzerkonten sich bei GitHub authentifizieren können, hängt davon ab, wie Sie die Authentifizierung konfigurieren (SAML oder OIDC). Weitere Informationen findest du unter Authentifizieren mit Enterprise Managed Users.

Wenn ein nicht authentifizierter Benutzer versucht, auf Ihr Unternehmen zuzugreifen, zeigt GitHub standardmäßig einen 404-Fehler an. Optional können Sie stattdessen automatische Umleitungen zu Single Sign-On (SSO) aktivieren. Weitere Informationen findest du unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.

Weiterführende Lektüre

  •         [AUTOTITLE](/admin/identity-and-access-management/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users)