Skip to main content

管理组织的团队同步

您可以在身份提供程序 (IdP) 与 GitHub Enterprise Cloud 上的组织之间启用和禁用团队同步。

Organization owners can manage team synchronization for an organization.

注意:如果您的企业使用 企业托管用户,则无法使用团队同步,而必须配置 SCIM 以通过身份提供程序管理成员身份。 更多信息请参阅“为企业托管用户配置 SCIM 预配”。

关于团队同步

您可以在 IdP 与 GitHub Enterprise Cloud 之间启用团队同步,以允许组织所有者和团队维护员将组织中的团队与 IdP 组连接起来。

当您将 GitHub 团队与 IdP 组同步时,IdP 组的变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 您可以使用 IdP 与团队同步来管理一系列管理任务,如新成员登记、为组织内的调动授予新权限及删除成员对组织的访问权限。

Note: To use SAML single sign-on, your organization must use GitHub Enterprise Cloud. 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 试用版”。

您可以将团队同步与受支持的 IdP 一起使用。

  • Azure AD
  • Okta

启用团队同步后,团队维护员和组织所有者可在 GitHub 上或通过 API 将团队连接至 IdP 组。 更多信息请参阅“同步团队与身份提供程序组”和“团队同步”。

您还可以为企业帐户拥有的组织启用团队同步。 更多信息请参阅“管理企业中组织的团队同步”。

如果您的组织由企业帐户拥有,则对企业帐户启用团队同步或 SCIM 预配将覆盖组织级的团队同步设置。 更多信息请参阅“管理企业帐户中组织的团队同步”和“为企业托管用户配置 SCIM 预配”。

使用限制

团队同步功能存在使用限制。 超过这些限制将导致性能下降,并可能导致同步失败。

  • GitHub 团队中的最大成员数:5,000
  • GitHub 组织中的最大成员数:10,000
  • GitHub 组织中的最大团队数:1,500

启用团队同步

启用团队同步的步骤取决于要使用的 IdP。 有些启用团队同步的基本要求适用于每个 IdP。 每个 IdP 都有额外的基本要求。

基本要求

要对任何 IdP 启用团队同步,必须获得对 IdP 的管理访问权限,或与 IdP 管理员合作配置 IdP 集成和组。 配置 IdP 集成和组的人员必须拥有其中一项必要权限。

IdP所需权限
Azure AD
  • 全局管理员
  • 特权角色管理员
Okta
  • 具有只读管理员权限的服务用户

您必须为您的组织和支持的 IdP 启用 SAML 单点登录。 更多信息请参阅“对组织实施 SAML 单点登录”。

您必须具有链接的 SAML 身份。 要创建链接身份,您必须至少使用 SAML SSO 和支持的 IdP 向您的组织进行身份验证一次。 更多信息请参阅“使用 SAML 单点登录进行身份验证”。

您的 SAML 设置必须包含颁发者字段的有效 IdP URL。

SAML 颁发者字段

为 Azure AD 启用团队同步

要为 Azure AD 启用团队同步,Azure AD 安装需要以下权限:

  • 读取所有用户的完整个人资料
  • 登录和读取用户个人资料
  • 读取目录数据
  1. 在 GitHub.com 的右上角,单击您的头像,然后单击 Your organizations(您的组织)个人资料菜单中的组织

  2. 在组织旁边,单击 Settings(设置)设置按钮

  3. 在边栏的“Security(安全性)”部分中,单击 Authentication security(身份验证安全性)

  4. 确认已为您的组织启用 SAML SSO。 更多信息请参阅“管理组织的 SAML 单点登录”。

  5. 在“Team synchronization(团队同步)”下,单击 Enable for Azure AD(为 Azure AD 启用)安全设置页面上的启用团队同步按钮

  6. 确认团队同步。

    • 如果您有 IdP 访问权限,则单击 Enable team synchronization(启用团队同步)。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
    • 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。 启用团队同步重定向按钮
  7. 查看要与组织连接的身份提供程序租户信息,然后单击 Approve(批准)启用特定 IdP 租户团队同步且含有批准或取消请求选项的待处理请求

为 Okta 启用团队同步

Okta 团队同步要求已为您的组织设置了具有 Okta 的 SAML 和 SCIM。

为避免与 Okta 发生潜在的团队同步错误,我们建议您先确认已为属于所选 Okta 组成员的所有组织成员正确设置了 SCIM 链接身份,然后再在 GitHub 上启用团队同步。

如果组织成员没有链接的 SCIM 身份,则团队同步将无法按预期工作,并且可能不会按预期在团队中添加或删除用户。 如果这些用户中的任何一个缺少 SCIM 链接身份,则需要重新预配它们。

有关预配缺少 SCIM 链接身份的用户的帮助,请参阅“身份和访问管理疑难解答”。

在为 Okta 启用团队同步之前,您或您的 IdP 管理员必须:

  1. 在 GitHub.com 的右上角,单击您的头像,然后单击 Your organizations(您的组织)个人资料菜单中的组织

  2. 在组织旁边,单击 Settings(设置)设置按钮

  3. 在边栏的“Security(安全性)”部分中,单击 Authentication security(身份验证安全性)

  4. 确认已为您的组织启用 SAML SSO。 更多信息请参阅“管理组织的 SAML 单点登录”。

  5. 建议确认您的用户已启用 SAML 并具有链接的 SCIM 标识,以避免潜在的预配错误。 有关审核用户的帮助,请参阅“审核用户是否缺少 SCIM 元数据”。 有关解决未链接的 SCIM 标识的帮助,请参阅标识和访问管理疑难解答”。

  6. 请考虑在组织中强制实施 SAML,以确保组织成员链接其 SAML 和 SCIM 身份。 更多信息请参阅“对组织实施 SAML 单点登录”。

  7. 在“Team synchronization(团队同步)”下,单击 Enable for Okta(为 Okta 启用)安全设置页面上的启用 Okta 团队同步按钮

  8. 在组织名称下,输入有效的 SSWS 令牌和 Okta 实例的 URL。 启用团队同步 Okta 组织表单

  9. 查看要与组织连接的身份提供程序租户信息,然后单击 Create(创建)启用团队同步创建按钮

禁用团队同步

警告:禁用团队同步时,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能失去仓库访问权限。

  1. 在 GitHub.com 的右上角,单击您的头像,然后单击 Your organizations(您的组织)个人资料菜单中的组织

  2. 在组织旁边,单击 Settings(设置)设置按钮

  3. 在边栏的“Security(安全性)”部分中,单击 Authentication security(身份验证安全性)

  4. 在“Team synchronization(团队同步)”下,单击 Disable team synchronization(禁用团队同步)禁用团队同步