Identitäts- und Zugriffsverwaltung

  • 4 Minuten

Die Authentifizierung ist das Gateway zum Softwareentwicklungsökosystem Ihres Unternehmens. Jede Benutzerinteraktion mit GitHub beginnt mit der Identitätsüberprüfung. Während einzelne Konten auf Benutzernamen und Kennwörter vertrauen können, erfordert eine starke Unternehmenssicherheit zweistufige Authentifizierung (2FA) oder komplexere Methoden wie Passkeys und biometrische Anmeldung. Der Ausgleich der Benutzerfreundlichkeit mit Sicherheit ist entscheidend – insbesondere in einer schnelllebigen Entwicklungsumgebung.

Moderne Authentifizierung in GitHub Enterprise

Um eine sichere und optimierte Authentifizierung zu gewährleisten, unterstützt GitHub mehrere moderne Methoden, die in Ihre Identitätsverwaltungssysteme integriert werden:

Passkeys und WebAuthn

  • Passkeys sind eine kennwortlose Anmeldemethode, die an ein physisches Gerät gebunden ist und gegen Phishing resistent ist.
  • WebAuthn unterstützt biometrische Faktoren und Hardwaretoken wie YubiKey.
  • Diese Methoden reduzieren anmeldeinformationsbasierte Angriffe erheblich und verbessern die Anmelde-UX.

GitHub Mobile für 2FA

Benutzer können sich bei GitHub Mobile authentifizieren, die Pushbenachrichtigungen für schnelle, sichere Genehmigung unterstützt – 2FA verbessern, ohne Workflows zu stören.

OAuth- und GitHub-Apps

  • OAuth-Apps verwenden den OAuth 2.0-Fluss von GitHub, um Benutzer zu authentifizieren und bereichsbezogenen Zugriff auf externe Anwendungen zu gewähren.
  • GitHub-Apps authentifizieren sich als einzelne Installationen mit differenzierten Berechtigungen und eignen sich ideal für CI/CD- und Automatisierungspipelinen.

Unternehmensverwaltete Benutzer (EMU)

In GitHub Enterprise Cloud stellen EMUs sicher, dass die Authentifizierung streng über Ihren Identitätsanbieter (IdP) erfolgt. Dieses Modell hat folgende Eigenschaften:

  • Beschränkt den Zugriff nur auf unternehmensverwaltete Konten.
  • Erzwingt die zentrale Kontrolle über Identitäts-, Anmeldeinformationen und Sitzungsrichtlinien.

Organisationsverwaltung mit SAML SSO

Eine grundlegende Funktion für die Authentifizierung auf Unternehmensniveau ist SAML Single Sign-On (SSO). SAML verknüpft Ihren IdP mit GitHub, sodass Benutzer sich über einen Satz von Anmeldeinformationen über Dienste anmelden können. GitHub verwendet den IdP, um die Benutzeridentität zu überprüfen, bevor Der Zugriff auf Organisations- oder Unternehmensressourcen gewährt wird.

Wenn sich Benutzer bei GitHub anmelden, können sie sehen, zu welchen Unternehmen sie gehören, aber für den Zugriff auf Repositorydaten ist eine erneute SAML-Authentifizierung über den IdP erforderlich.

Als Unternehmensadministrator umfassen Ihre Zuständigkeiten:

  • Autorisieren des Zugriffs basierend auf Rolle und bedarfsgerechtem Wissen.
  • Überwachen und Überprüfen von Benutzeraktivitäten.
  • Einschränken von Berechtigungen und Minimieren der Angriffsfläche.

Screenshot: Beispiel für die Überprüfung der Berechtigungsliste des Administratorrepositorys.

Um SAML-SSO für Ihre Organisation zu konfigurieren, integrieren Sie Ihren IdP in GitHub. Zu den unterstützten Anbietern gehören:

  • Active Directory-Verbunddienste (AD FS)
  • Microsoft Entra ID
  • Okta
  • OneLogin
  • PingOne
  • Shibboleth

Hinweis

GitHub bietet eingeschränkte Unterstützung für Identitätsanbieter, die den SAML 2.0-Standard implementieren.

Zugriffs- und Autorisierungskontrollen für Unternehmen

Der Zugriff in GitHub wird durch ein robustes mehrschichtiges Autorisierungsmodell gesteuert:

Feinkörnige Persönliche Zugriffstoken (PATs)

Im Gegensatz zu klassischen PATs, feinkörnige PATs:

  • Einschränken des Zugriffs auf bestimmte Repositorys und Bereiche.
  • Unterstützung des automatischen Ablaufs, um das Risiko zu verringern.
  • Bieten Sie verbesserte Rückverfolgbarkeit und Compliance-Kontrollen.

Benutzerdefinierte Repositoryrollen

Administratoren können benutzerdefinierte Rollen definieren, die über die Standardberechtigungssätze hinausgehen. Dies bietet Unterstützung für:

  • Delegierter Zugriff, der auf eindeutige Workflows zugeschnitten ist.
  • Erzwingen minimaler Berechtigungen für sensible Repositories.

Durchsetzung von Sicherheitsrichtlinien

Sie können globale Sicherheitskontrollen erzwingen, z. B.:

  • "Zwingende Zwei-Faktor-Authentifizierung (2FA) für alle Benutzer."
  • IP-Zulassungslisten zum Einschränken des Zugriffs auf genehmigte Netzwerke.
  • Blockieren nicht überprüfter OAuth-Apps, es sei denn, dies wurde explizit genehmigt.

Organisations- und Unternehmensebenen-Kontrollen

  • Steuerelemente auf Organisationsebene umfassen Standardrollen, teambasierten Zugriff und die Verwaltung externer Mitarbeiter.
  • Die Governance auf Unternehmensebene umfasst:
    • Zentrale SAML-Erzwingung.
    • IdP-basierte Anmeldeeinschränkungen.
    • Globale Richtlinienerzwingung über GitHub Enterprise Cloud.

Sichtbarkeit des Repositorys und interner Zugriff

Wenn Organisationsmitglieder Repositorys erstellen, können sie zwischen öffentlichen, privaten oder internen Sichtbarkeitsoptionen wählen:

  • Öffentlich: Für jeden im Internet verfügbar.
  • Privat: Auf ausgewählte Benutzer beschränkt.
  • Intern: Für alle Mitglieder innerhalb des Unternehmens sichtbar, aber für externe Benutzer ausgeblendet.

Diese Granularität stellt sicher, dass Quellcode, Dokumentation und andere Ressourcen nur für die entsprechenden Projektbeteiligten freigegeben werden.