Skip to main content

Informationen zur Unterstützung der IdP-Richtlinie für bedingten Zugriff

Wenn Ihr Unternehmen OIDC-SSO verwendet, kann GitHub den Zugriff auf Ihr Unternehmen und seine Ressourcen mithilfe der Conditional Access Policy (CAP) Ihres IdP überprüfen.

Wer kann dieses Feature verwenden?

Enterprise Managed Users ist für neue Unternehmenskonten verfügbar auf GitHub Enterprise Cloud. Weitere Informationen findest du unter Informationen zum Enterprise Managed Users.

Hinweis

Die Unterstützung von OpenID Connect (OIDC) und der Richtlinie für bedingten Zugriff für Enterprise Managed Users ist nur in Microsoft Entra ID (früher Azure AD) verfügbar.

Informationen zur Unterstützung von Richtlinien für bedingten Zugriff

Wenn Ihr Unternehmen OIDC SSO verwendet, wird GitHub automatisch die bedingte Zugriffsrichtlinie (CAP) Ihrer IdP verwenden, um IP-Bedingungen bei Interaktionen mit GitHub zu validieren, wenn Mitglieder die Web-UI nutzen oder IP-Adressen ändern, sowie bei jeder Authentifizierung mit einem personal access token oder einem Benutzerkonto zugeordneten SSH-Schlüssel.

Hinweis

Der CAP-Schutz für Websitzungen befindet sich derzeit in der Öffentliche Vorschau und kann noch geändert werden.

Wenn die IDP-CAP-Unterstützung für dein Unternehmen bereits aktiviert ist, kannst du den erweiterten Schutz für Websitzungen über die Einstellungen „Authentication security“ deines Unternehmens aktivieren. Wenn der Schutz von Websitzungen aktiviert ist und die IP-Bedingungen eines Benutzers nicht erfüllt sind, können sie alle Ressourcen im Besitz des Benutzers anzeigen und filtern. Die Details der Ergebnisse für Benachrichtigungen, Suchvorgänge, persönliche Dashboards oder mit Stern versehene Repositorys können sie jedoch nicht anzeigen.

GitHub unterstützt CAP für jeden Unternehmen mit verwalteten Benutzer*innen Ort, an dem OIDC SSO aktiviert ist. Unternehmensbesitzer können diese IP-Zulassungslistenkonfiguration anstelle der GitHubIP-Zulassungsliste verwenden und dies tun, sobald OIDC SSO konfiguriert ist. Weitere Informationen zu IP-Positivlisten findest du unter Einschränken des Netzwerkdatenverkehrs in deinem Unternehmen mit einer Liste zugelassener IP-Adressen und Verwaltung erlaubter IP-Adressen für deine Organisation.

  • GitHub erzwingt die IP-Bedingungen Ihres IdP, kann Ihre Bedingungen für die Gerätekonformität jedoch nicht erzwingen.
  • Richtlinien für die Multi-Factor Authentication werden nur zum Zeitpunkt der Anmeldung beim IdP erzwungen.

Weitere Informationen zur Verwendung von OIDC mit Enterprise Managed Users finden Sie unter Konfigurieren von OIDC für Enterprise Managed Users und Migrieren von SAML zu OIDC.

Informationen zu CAP und Bereitstellungsschlüsseln

Ein Bereitstellungsschlüssel ist ein SSH-Schlüssel, der Zugriff auf ein einzelnes Repository gewährt. Da Bereitstellungsschlüssel keine Vorgänge im Namen eines Benutzers ausführen, gelten die CAP-IP-Bedingungen nicht für Anforderungen, die mit einem Bereitstellungsschlüssel authentifiziert wurden. Weitere Informationen finden Sie unter Verwalten von Bereitstellungsschlüsseln.

Überlegungen zu Integrationen und Automatisierungen

GitHub sendet die ursprüngliche IP-Adresse an Ihren IdP zur Validierung anhand Ihrer CAP. Um sicherzustellen, dass Aktionen und Apps nicht von der CAP deines IdP blockiert werden, musst du Änderungen an deiner Konfiguration vornehmen.

Warnung

Wenn du GitHub Enterprise Importer verwendest, um eine Organisation von deine GitHub Enterprise Server-Instanz zu migrieren, verwende unbedingt ein Dienstkonto, das von der Entra ID-CAP ausgenommen ist, da deine Migration sonst blockiert werden könnte.

GitHub Actions

Aktionen, die eine personal access token verwenden, werden wahrscheinlich durch die CAP Ihres IdP blockiert. Wir empfehlen, dass personal access tokens von einem Dienstkonto erstellt werden, das dann von IP-Kontrollen in der CAP Ihres IdP ausgenommen wird.

Wenn Sie kein Dienstkonto verwenden können, besteht eine weitere Möglichkeit, Aktionen freizugeben, die personal access tokens verwenden: die von GitHub Actions verwendeten IP-Bereiche zuzulassen. Weitere Informationen finden Sie unter Informationen zu den IP-Adressen von GitHub.

GitHub Codespaces

GitHub Codespaces ist möglicherweise nicht verfügbar, wenn Ihr Unternehmen OIDC SSO mit CAP verwendet, um den Zugriff durch IP-Adressen einzuschränken. Dies liegt daran, dass Codespaces mit dynamischen IP-Adressen erstellt werden, die wahrscheinlich durch die CAP deines IdP blockiert werden. Andere CAP-Richtlinien können je nach der spezifischen Konfiguration der Richtlinie auch die Verfügbarkeit von GitHub Codespaces beeinflussen.

Der github.dev-Editor

Der github.dev Editor ist möglicherweise nicht verfügbar, wenn Ihr Unternehmen OIDC SSO mit CAP verwendet, um den Zugriff durch IP-Adressen einzuschränken. Dies liegt daran, dass github.dev dynamische IP-Adressen verwendet werden, die wahrscheinlich von der CAP Ihres IdP blockiert werden. Andere CAP-Richtlinien können sich je nach spezifischer Konfiguration der Richtlinie ebenfalls auf die Verfügbarkeit von github.dev auswirken.

GitHub Apps und OAuth apps

Wenn GitHub Apps und OAuth apps einen Benutzer anmelden und im Namen des Benutzers Anfragen senden, sendet GitHub die IP-Adresse des App-Servers zur Validierung an Ihren IdP. Wenn die IP-Adresse des Servers der App von der CAP deines IdP nicht überprüft wird, tritt bei der Anforderung ein Fehler auf.

Wenn GitHub Apps Aufruf-APIs GitHub entweder als App selbst oder als Installation fungieren, werden diese Aufrufe nicht im Auftrag eines Benutzers ausgeführt. Da die CAP deines Identitätsanbieters ausgeführt wird und Richtlinien auf Benutzerkonten anwendet, können diese Anwendungsanforderungen nicht anhand der CAP überprüft werden und sind immer zulässig. Weitere Informationen zur GitHub Apps Authentifizierung als sich selbst oder als Installation finden Sie unter Informationen zur Authentifizierung mit einer GitHub-App.

Du kannst die Besitzer der Apps, die du verwenden möchtest, nach ihren IP-Bereichen fragen und die CAP deines IDP konfigurieren, um den Zugriff von diesen IP-Bereichen aus zu ermöglichen. Wenn du dich nicht an die Besitzer wenden kannst, kannst du deinen IdP-Anmeldeprotokollen die in den Anforderungen angezeigten IP-Adressen entnehmen und dann diese Adressen auf die Zulassungsliste setzen.

Wenn Sie nicht alle IP-Bereiche für sämtliche Apps Ihres Unternehmens zulassen möchten, können Sie auch installierte GitHub Apps und autorisierte Apps OAuth apps von der IdP-Erlaubnisliste ausnehmen. In diesem Fall funktionieren diese Apps weiterhin, unabhängig von der ursprünglichen IP-Adresse. Weitere Informationen finden Sie unter Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen.

Weiterführende Lektüre