Skip to main content

管理企业中组织的团队同步

你可以启用 Microsoft Entra ID(以前称为 Azure AD)与 GitHub Enterprise Cloud 之间的团队同步,以允许企业帐户拥有的组织通过 IdP 组管理团队成员身份。

谁可以使用此功能?

Enterprise owners can manage team synchronization for an enterprise account.

注意:如果企业使用 Enterprise Managed Users,则不需要使用团队同步。 而是可以通过在设置企业时创建的 SCIM 配置来管理团队成员身份。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。

关于企业帐户的团队同步

如果在企业级别使用 SAML 并将 Entra ID 作为 IdP,则可以为企业帐户启用团队同步,以允许组织所有者和团队维护员将企业帐户拥有的组织中的团队与 IdP 组同步。

如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。

团队同步不是用户预配服务,在大多数情况下不会邀请非成员加入组织。 这意味着只有当用户已经是组织成员时,才会成功地将其添加到团队中。 但是,你可以选择允许团队同步来重新邀请以前是组织成员而后来被删除的用户。

启用团队同步后,团队维护员和组织所有者可在 GitHub 上或通过 API 将团队连接至 IdP 组。 有关详细信息,请参阅“将团队与身份提供程序组同步”和“团队的 REST API 终结点”。

警告:禁用团队同步后,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能失去存储库访问权限。

您也可以配置和管理单个组织的团队同步。 有关详细信息,请参阅“管理组织中的团队同步”。

使用限制

团队同步功能存在使用限制。 超过这些限制将导致性能下降,并可能导致同步失败。

  • GitHub 团队中的成员人数上限:5,000
  • GitHub 组织中的成员人数上限:10,000
  • GitHub 组织中的团队数上限:1,500

先决条件

  • 必须使用 Entra ID 商业租户,而不是政府云。
  • 你或你的 Entra ID 管理员必须是 Entra ID 中的全局管理员或特权角色管理员。
  • 需要使用受支持的 IdP 为企业帐户中的组织实施 SAML 单一登录。 有关详细信息,请参阅“为企业配置 SAML 单点登录”。
  • 您必须使用 SAML SSO 和支持的 IdP 向企业帐户进行身份验证。 有关详细信息,请参阅“使用 SAML 单点登录进行身份验证”。

管理 Entra ID 的团队同步

要为 Entra ID 启用团队同步,Entra ID 安装需要具有以下权限。

  • 读取所有用户的完整配置文件
  • 登录并读取用户配置文件
  • 读取目录数据
  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  2. 在企业列表中,单击您想要查看的企业。

  3. 在企业帐户边栏中,单击“设置”。

  4. 在“ 设置”下,单击“身份验证安全性” 。

  5. 确认是否为企业启用了 SAML SSO。

  6. 在“团队同步”下,单击“为 Entra ID 启用”****。

  7. 确认团队同步。

    • 如果你具有 IdP 访问权限,请单击“启用团队同步”。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
    • 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。
  8. 查看要连接到企业帐户的 IdP 租户的详细信息,然后单击“批准”。

  9. 要禁用团队同步,请在“团队同步”下单击“禁用团队同步”。

管理团队同步是否可以重新邀请非成员加入组织

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  2. 在企业列表中,单击您想要查看的企业。

  3. 在企业帐户边栏中,单击“设置”。

  4. 在“ 设置”下,单击“身份验证安全性” 。

  5. 在“团队同步”下,选择或取消选择“不允许团队同步重新邀请已被组织所有者删除的过去的成员加入组织”。