Tutorial: Konfigurieren von GitHub für die automatische Benutzerbereitstellung

In diesem Tutorial werden die Schritte beschrieben, die Sie in GitHub und Microsoft Entra ID ausführen müssen, um die Bereitstellung einer GitHub Enterprise Cloud-Organisationsmitgliedschaft zu automatisieren.

Hinweis

Die Integration der Microsofr Entra-Bereitstellung basiert auf der GitHub-SCIM-API, die für GitHub Enterprise Cloud-Kunden gemäß dem GitHub Enterprise-Abrechnungsplan zur Verfügung steht.

Voraussetzungen

Das in diesem Tutorial verwendete Szenario setzt voraus, dass Sie bereits über die folgenden Elemente verfügen:

• Ein Microsoft Entra-Mandant
• Eine in GitHub Enterprise Cloud erstellte GitHub-Organisation (erfordert den Abrechnungsplan für GitHub Enterprise).
• Ein Benutzerkonto in GitHub mit Administratorberechtigungen für die Organisation
• Für die GitHub Enterprise Cloud-Organisation konfigurierte SAML
• Stellen Sie sicher, dass der OAuth-Zugriff für Ihre Organisation wie hier beschrieben bereitgestellt wurde.
• Die SCIM-Bereitstellung in einer einzelnen Organisation wird nur unterstützt, wenn SSO auf Organisationsebene aktiviert ist.

Hinweis

Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie finden diese Anwendung im Microsoft Entra-Anwendungskatalog für die US Government-Cloud. Sie können sie auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.

Zuweisen von Benutzern zu GitHub

Microsoft Entra ID ermittelt anhand von „Zuweisungen“, welche Benutzer*innen Zugriff auf ausgewählte Apps erhalten sollen. Im Kontext der automatischen Bereitstellung von Benutzerkonten werden nur die Benutzer*innen und Gruppen synchronisiert, die einer Anwendung in Microsoft Entra ID zugewiesen wurden.

Vor Konfiguration und Aktivierung des Bereitstellungsdiensts müssen Sie entscheiden, welche Benutzer*innen und/oder Gruppen in Microsoft Entra ID die Benutzer*innen darstellen, die Zugriff auf Ihre GitHub-Organisation benötigen. Nach dieser Entscheidung können Sie diese Benutzer*innen nach den folgenden Anweisungen zuweisen:

Weitere Informationen finden Sie unter Zuweisen eines Benutzers oder einer Gruppe zu einer Unternehmens-App in Azure Active Directory.

Wichtige Tipps zum Zuweisen von Benutzern zu GitHub

• Es wird empfohlen, GitHub einem einzelnen Microsoft Entra-Benutzer zuzuweisen, um die Bereitstellungskonfiguration zu testen. Später können weitere Benutzer und/oder Gruppen zugewiesen werden.

• Beim Zuweisen eines Benutzers zu GitHub müssen Sie entweder die Rolle Benutzer oder eine andere gültige anwendungsspezifische Rolle (sofern verfügbar) im Dialogfeld für die Zuweisung auswählen. Die Rolle Standardzugriff funktioniert nicht für die Bereitstellung. Diese Benutzer werden übersprungen.

Konfigurieren der Benutzerbereitstellung in GitHub

Dieser Abschnitt führt Sie durch das Herstellen einer Verbindung von Microsoft Entra ID zur SCIM-Bereitstellungs-API von GitHub, um die Bereitstellung der GitHub-Organisationsmitgliedschaft zu automatisieren. Bei dieser Integration, die eine OAuth-App nutzt, wird der Zugriff von Mitgliedern auf eine GitHub Enterprise Cloud-Organisation basierend auf der Benutzer- und Gruppenzuweisung in Microsoft Entra ID hinzugefügt, verwaltet und entfernt. Wenn Benutzer über SCIM in einer GitHub-Organisation bereitgestellt wurden, wird an die E-Mail-Adresse des Benutzers eine E-Mail-Einladung gesendet.

Konfigurieren der automatischen Benutzerkontobereitstellung für GitHub in Microsoft Entra ID

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

3. Suchen Sie über das Suchfeld nach Ihrer GitHub-Instanz, wenn Sie GitHub bereits für einmaliges Anmelden konfiguriert haben.

4. Wählen Sie Ihre GitHub-Instanz aus, und wählen Sie dann die Registerkarte Bereitstellung.

5. Legen Sie den Bereitstellungsmodus auf Automatisch fest.

6. Geben Sie im Azure-Portal die Mandanten-URL ein, und klicken Sie auf Verbindung testen, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit Ihrer GitHub-Organisation herstellen kann. Überprüfen Sie bei einem Verbindungsfehler, ob das GitHub-Konto über Administratorberechtigungen verfügt und die Mandanten-URL korrekt eingegeben wurde. Wiederholen Sie dann den Schritt „Autorisieren“. (Sie können die Mandanten-URL durch eine Regel ersetzen: https://api.github.com/scim/v2/organizations/<Organization_name>. Die Organisationen finden Sie im GitHub-Konto unter:Einstellungen>Organisationen).

   

7. Klicken Sie im Abschnitt Administratoranmeldeinformationen auf Autorisieren. Mit diesem Vorgang wird ein GitHub-Autorisierungsdialogfeld in einem neuen Browserfenster geöffnet. Beachten Sie, dass Sie sicherstellen müssen, dass Sie für die Autorisierung des Zugriffs genehmigt sind. Folgen Sie den hier beschriebenen Anweisungen.

   

8. Melden Sie sich im neuen Fenster mit Ihrem Administratorkonto bei GitHub an. Wählen Sie im daraufhin angezeigten Autorisierungsdialogfeld die GitHub-Organisation aus, für die Sie die Bereitstellung aktivieren möchten, und wählen Sie dann Autorisieren. Kehren Sie anschließend zum Azure-Portal zurück, um die Konfiguration der Bereitstellung abzuschließen.

   

9. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen „Bei Fehler E-Mail-Benachrichtigung senden“.

10. Klicken Sie auf Speichern.

11. Wählen Sie im Abschnitt Zuordnungen die Option Synchronize Microsoft Entra-Benutzer mit SpaceIQ synchronisieren aus.

12. Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit GibHub synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute für den Abgleich der Benutzerkonten in GitHub für Updatevorgänge verwendet werden. Aktivieren Sie nicht die Einstellung Priorität für den Abgleich für die anderen Standardattribute im Abschnitt Bereitstellung, da dann Fehler auftreten können. Wählen Sie Speichern aus, um Ihre Änderungen zu committen.

13. Um den Microsoft Entra-Bereitstellungsdienst für GitHub zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt Einstellungen in Ein.

14. Klicken Sie auf Speichern.

Dadurch wird die Erstsynchronisierung aller Benutzer und/oder Gruppen gestartet, die GitHub im Abschnitt „Benutzer und Gruppen“ zugewiesen sind. Die Erstsynchronisierung dauert länger als nachfolgende Synchronisierungen, die ungefähr alle 40 Minuten erfolgen, solange der Dienst ausgeführt wird. Im Abschnitt Synchronisierungsdetails können Sie den Fortschritt überwachen und Links zu Protokollen zur Bereitstellungsaktivität aufrufen. Darin sind alle Aktionen aufgeführt, die vom Bereitstellungsdienst ausgeführt werden.

Weitere Informationen zum Lesen der Microsoft Entra-Bereitstellungsprotokolle finden Sie unter Berichterstellung zur automatischen Benutzerkontobereitstellung.

Zusätzliche Ressourcen

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
• Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?

Nächste Schritte

• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen