What is IAM for GitHub?
Zur Kontrolle des Zugriffs zu den Enterprise-Ressourcen können Sie es Personen ermöglichen, ein persönliches Konto GitHub.com zu benutzen und optional eine zusätzliche SAML-Zugriffseinschränkung konfigurieren, oder Sie können die Konten für Ihr Unternehmen mithilfe Ihres Identitätsanbieters (IdP) mit Enterprise Managed Users bereitstellen und steuern.
After learning more about authentication and provisioning for each of these options, to determine which method is best for your enterprise, see Enterprise types for GitHub Enterprise Cloud.
Which authentication method are available to me?
When you create an enterprise on GitHub, you can decide how people authenticate to access your resources and who controls the user accounts.
- Authentication through GitHub.com
- Authentication through GitHub.com with additional SAML access restriction
- Authentication with Enterprise Managed Users and federation
Authentication through GitHub.com
With authentication solely through GitHub.com, each person you want to grant access to your enterprise must create and manage a personal account on GitHub.com. After you grant access to your enterprise, the member can access your enterprise's resources after signing into the account on GitHub.com. The member manages the account, and can contribute to other enterprises, organizations, and repositories on GitHub.com. For more information about personal accounts, see Erstellen eines Kontos auf GitHub.
Authentication through GitHub.com with additional SAML access restriction
If you configure additional SAML access restriction, each person you want to grant access to your enterprise must create and manage a personal account on GitHub.com. After you grant access to your enterprise, the member can access your enterprise's resources only after authenticating successfully for both the account on GitHub.com and for an account on your SAML identity provider (IdP). The member can contribute to other enterprises, organizations, and repositories on GitHub.com using their personal account. For more information about requiring SAML authentication for all access your enterprise's resources, see Informationen zu SAML für Enterprise IAM.
You can choose between configuring SAML at the enterprise level, which applies the same SAML configuration to all organizations within the enterprise, and configuring SAML separately for individual organizations. For more information, see Entscheiden, ob SAML für dein Unternehmen oder deine Organisationen konfiguriert werden soll.
Authentication with Enterprise Managed Users and federation
If you need more control of the accounts for your enterprise members on GitHub, you can use Enterprise Managed Users. With Enterprise Managed Users, you provision and manage accounts for your enterprise members on GitHub using your IdP. Each member signs into an account that you create, and your enterprise manages the account. Contributions outside the enterprise are restricted. For more information, see About Enterprise Managed Users.
How does provisioning work?
If you use authentication through GitHub.com with additional SAML access restriction, people create personal accounts on GitHub.com, and you can grant those personal accounts access to resources in your enterprise. You do not provision accounts.
Alternatively, if you use Enterprise Managed Users, you must configure your IdP to provision user accounts within your enterprise on GitHub.com using System for Cross-domain Identity Management (SCIM). For more information, see Bereitstellungskonten für unternehmensverwaltete Benutzer.
Which IdPs are supported?
Wenn Sie ein Unternehmen erstellen möchten, das persönliche Konten für GitHub.com verwendet, können Sie zusätzliche Authentifizierung mit einem externen Identitätsverwaltungssystem konfigurieren, das dem SAML 2.0-Standard entspricht. GitHub unterstützt und testet ebenfalls offiziell einige Identitätsverwaltungssysteme. Weitere Informationen finden Sie unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.
GitHub arbeitet mit einigen Entwicklern von Identitätsverwaltungssystemen an einer vorgefertigten Integration mit Enterprise Managed Users. Um Ihre Konfiguration zu vereinfachen und die vollständige Unterstützung sicherzustellen, nutzen Sie einen einzelnen Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung. Wenn Sie einen Partner-Identitätsanbieter (IdP) verwenden, können Sie für die Authentifizierung und Bereitstellung eine Anwendung auf Ihrem IdP konfigurieren. Der IdP muss den SAML 2.0-Standard unterstützen. Alternativ können Sie die OpenID Connect (OIDC)-Authentifizierung konfigurieren, wenn Sie Entra ID (früher Azure AD genannt) verwenden. Wenn Sie keinen Partner-IdP oder nur einen Partner-IdP für die Authentifizierung verwenden, können Sie IdPs integrieren, die die Standards SAML 2.0 und System for Cross-Domain Identity Management (SCIM) 2.0 implementieren. Weitere Informationen finden Sie unter About Enterprise Managed Users.