Skip to main content

为 Enterprise Managed User 配置 SCIM 预配

你可以配置标识提供者以预配新用户并管理其在企业和团队中的成员身份。

若要使用标识提供者管理企业中的用户,企业必须启用 Enterprise Managed Users,它适用于 GitHub Enterprise Cloud。 有关详细信息,请参阅“关于 Enterprise Managed Users”。

关于 Enterprise Managed Users 的预配

必须为 Enterprise Managed Users 配置预配才能为企业成员创建、管理和停用用户帐户。 为 Enterprise Managed Users 配置预配时,在标识提供者中分配给 GitHub Enterprise Managed User 应用程序的用户将通过 SCIM 预配为 GitHub 上的新用户帐户,并且这些用户将添加到你的企业中。

在 IdP 上更新与用户标识关联的信息时,IdP 将在 GitHub.com 上更新用户的帐户。 从 GitHub Enterprise Managed User 应用程序取消分配用户或停用 IdP 上的用户帐户时,IdP 将与 GitHub 进行通信,以使任何会话失效并禁用该成员的帐户。 已禁用帐户的信息会保留,其用户名将更改为原始用户名的哈希,并追加短代码。 如果将用户重新分配到 GitHub Enterprise Managed User 应用程序或在 IdP 上重新激活其帐户,则会重新激活 GitHub 上的 managed user account 帐户,并还原用户名。

IdP 中的组可用于管理企业组织中的团队成员身份,使你可通过 IdP 配置存储库访问权限和权限。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。

先决条件

在为 Enterprise Managed Users 配置预配之前,必须配置 SAML 或 OIDC 单一登录。

创建个人访问令牌

若要为 enterprise with managed users 配置预配,需要使用属于安装用户的 admin:enterprise 作用域的个人访问令牌。

警告: 如果令牌过期或预配的用户创建了令牌,SCIM 预配可能会意外停止工作。 请确保在以安装用户身份登录时创建令牌,并将令牌过期设置为“不过期”。

  1. 使用用户名“@SHORT-CODE_admin”以新企业的安装用户身份登录到 GitHub.com。

  2. 在任何页面的右上角,单击个人资料照片,然后单击“设置”。

    用户栏中的 Settings 图标

  3. In the left sidebar, click Developer settings.

  4. 在左侧边栏中,单击“个人访问令牌”。 个人访问令牌 1. 单击“生成新令牌”。 “生成新令牌”按钮

  5. 在“备注”下,为令牌提供描述性名称。 显示令牌名称的屏幕截图

  6. 选择“过期”下拉菜单,然后单击“不过期” 。 显示将令牌过期设置为“不过期”的屏幕截图

  7. 选择 admin:enterprise 作用域。 显示 admin:enterprise 作用域的屏幕截图

  8. 单击“生成令牌”。 生成令牌按钮

  9. 若要将令牌复制到剪贴板,请单击 新建的令牌

  10. 若要保存令牌以供以后使用,请将新令牌安全地存储在密码管理器中。

为 Enterprise Managed Users 配置预配

创建个人访问令牌并安全地存储该令牌后,可以在标识提供者上配置预配。

注意:为避免超过 GitHub Enterprise Cloud 的速率限制,每小时为 IdP 应用程序分配的用户不要超过 1,000 个。 如果使用组将用户分配到 IdP 应用程序,则每小时向每个组添加的用户不要超过 100 个。 如果超出这些阈值,预配用户的尝试可能会失败并出现“速率限制”错误。

若要配置预配,请遵循下表中的相应链接。

| 标识提供者 | SSO 方法 | 详细信息 | |---|---|---| | Azure AD | OIDC | Azure AD 文档中的教程:为 GitHub Enterprise Managed User (OIDC) 配置自动用户预配 | | Azure AD | SAML | Azure AD 文档中的教程:为 GitHub Enterprise Managed User (OIDC) 配置自动用户预配 | |Okta |SAML | 使用 Okta 为企业托管用户配置 SCIM 预配 |