Skip to main content

使用标识提供者组管理团队成员身份

将 IdP 组与 具有托管用户的企业 中的团队连接,可以通过标识提供者 (IdP) 管理 GitHub Enterprise Cloud 上的团队和组织成员身份。

谁可以使用此功能?

若要使用标识提供者管理企业中的用户,企业必须启用 Enterprise Managed Users,它适用于 GitHub Enterprise Cloud。 有关详细信息,请参阅“关于 Enterprise Managed Users”。

关于使用 Enterprise Managed Users

的团队管理

使用 Enterprise Managed Users,可以将 GitHub 团队与 IdP 组连接起来,通过 IdP 管理企业内的团队和组织成员身份。 将某个企业组织中的团队连接到 IdP 组时,IdP 组对成员身份的更改会自动反映在企业中,从而减少手动更新和自定义脚本的需要。

当 IdP 组的更改或新的团队连接导致 托管用户帐户 加入他们尚未加入的组织中的团队时,托管用户帐户 将自动添加到组织中。 当你断开组与团队的连接时,如果未通过任何其他方式为其分配组织成员身份,则通过团队成员身份成为组织成员的用户将从组织中删除。

注意: 组织所有者也可以手动将 托管用户帐户 添加到组织,只要帐户已通过 SCIM 进行预配。

当 Idp 上的组成员身份发生变化时,你的 IdP 会根据 IdP 确定的时间表发送 SCIM 请求,其中包含对 GitHub.com 的更改,因此更改可能不会立即发生。 任何更改团队或组织成员身份的请求都将在审核日志中注册为用于配置用户预配的帐户所做的更改。

GitHub 还每天运行一次对帐作业,根据以前通过 SCIM 从 IdP 发送的信息,将团队成员身份与存储在 GitHub 上的 IdP 组成员身份同步。 如果此作业发现用户是企业中 IdP 组的成员,但不是映射团队或其组织的成员,则作业将尝试将该用户添加到组织和团队。

连接到 IdP 组的团队不能是其他团队的父级,也不能是另一个团队的子级。 如果要连接到 IdP 组的团队是父团队或子团队,建议创建一个新团队或删除使你的团队成为父团队的嵌套关系。

若要管理企业中任何团队(包括连接到 IdP 组的团队)的存储库访问权限,必须对 GitHub.com 进行更改。 有关详细信息,请参阅“管理团队对组织仓库的访问”。

将 IdP 组与团队连接的要求

在将 IdP 组与 GitHub 上的团队连接之前,必须将该组分配给 IdP 中的 GitHub Enterprise Managed User 应用程序。 有关详细信息,请参阅“为 Enterprise Managed User 配置 SCIM 预配”。

可以将企业中的团队连接到一个 IdP 组。 可以将同一 IdP 组分配给企业中的多个团队。

如果要将现有团队连接到 IdP 组,必须先删除手动添加的任何成员。 将企业中的团队连接到 IdP 组后,IdP 管理员必须通过标识提供者更改团队成员身份。 无法在 GitHub.com 上管理团队成员身份。

如果使用 Microsoft Entra ID(以前称为 Entra ID)作为 IdP,则只能将团队连接到安全组。 不支持嵌套的组成员身份和 Microsoft 365 组。

创建连接到 IdP 组的新团队

组织的任何成员都可以创建新团队并将团队连接到 IdP 组。

  1. 在 GitHub.com 的右上角,选择个人资料照片,然后单击 “你的组织”****。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。

  2. 单击您的组织名称。

  3. 在组织名称下,单击 “团队”。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 在页面顶部,单击“新建团队”。

  5. 在“Create new team(创建新团队)”下,输入新团队的名称。

  6. (可选)在“Description(描述)”字段中输入团队的描述。

  7. 若要连接团队,请在“标识提供者组”下,选择“选择组”下拉菜单,然后单击要连接的团队。

  8. 在“团队可见性”下,选择团队的可见性。

  9. 单击“创建团队”。

管理现有团队和 IdP 组之间的连接

组织所有者可以管理 IdP 组和团队之间的现有连接。 如果企业不使用 托管用户帐户,团队维护人员也可以管理连接。

注意: 在首次将 GitHub.com 上的现有团队连接到 IdP 组之前,必须先删除 GitHub.com 上的所有团队成员。 有关详细信息,请参阅“从团队中删除组织成员”。

  1. 在 GitHub.com 的右上角,单击你的头像照片,然后单击“你的个人资料”。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的个人资料”用深橙色框出。

  2. 在 GitHub.com 的右上角,选择个人资料照片,然后单击 “你的组织”****。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。

  3. 在组织名称下,单击 “团队”。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 单击团队的名称。

  5. 在团队页面顶部,单击 “设置”。

    团队页标题的屏幕截图。 标有齿轮图标和“设置”的选项卡用深橙色标出。

  6. (可选)在“标识提供者组”下,单击要断开连接的 IdP 组右侧的 从 GitHub 团队取消选择已连接的 IdP 组。

  7. 若要连接 IdP 组,请在“标识提供者组”下选择下拉菜单,然后从列表中单击标识提供者组。 用于选择标识提供者组的下拉菜单。

  8. 单击“保存更改”。

查看 IdP 组、组成员身份和连接的团队

企业所有者可以查看 IdP 组、每个组的成员身份以及连接到每个组的任何团队的列表。 此视图中列出的 IdP 组和成员身份基于通过 SCIM 从 IdP 发送到 GitHub 的信息。 必须在 IdP 上编辑组的成员身份。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。

  2. 在企业列表中,单击您想要查看的企业。

  3. 若要查看 IdP 组列表,请在左侧边栏中单击 “标识提供者”。

  4. 若要查看连接到 IdP 组的成员和团队,请单击该组的名称。

  5. 若要查看连接到 IdP 组的团队,请单击“团队”。

如果团队无法与 IdP 上的组同步,团队会显示错误。 有关详细信息,请参阅“解决团队成员资格在标识提供者组中遇到的问题”。