注意:如果您的企业使用 企业托管用户,则无法使用团队同步,而必须配置 SCIM 以通过身份提供程序管理成员身份。 更多信息请参阅“为企业托管用户配置 SCIM 预配”。
关于团队同步
您可以在 IdP 与 GitHub Enterprise Cloud 之间启用团队同步,以允许组织所有者和团队维护员将组织中的团队与 IdP 组连接起来。
当您将 GitHub 团队与 IdP 组同步时,IdP 组的变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 您可以使用 IdP 与团队同步来管理一系列管理任务,如新成员登记、为组织内的调动授予新权限及删除成员对组织的访问权限。
Note: To use SAML single sign-on, your organization must use GitHub Enterprise Cloud. 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 试用版”。
您可以将团队同步与受支持的 IdP 一起使用。
- Azure AD
- Okta
启用团队同步后,团队维护员和组织所有者可在 GitHub 上或通过 API 将团队连接至 IdP 组。 更多信息请参阅“同步团队与身份提供程序组”和“团队同步”。
您还可以为企业帐户拥有的组织启用团队同步。 更多信息请参阅“管理企业中组织的团队同步”。
如果您的组织由企业帐户拥有,则对企业帐户启用团队同步或 SCIM 预配将覆盖组织级的团队同步设置。 更多信息请参阅“管理企业帐户中组织的团队同步”和“为企业托管用户配置 SCIM 预配”。
使用限制
团队同步功能存在使用限制。 超过这些限制将导致性能下降,并可能导致同步失败。
- GitHub 团队中的最大成员数:5,000
- GitHub 组织中的最大成员数:10,000
- GitHub 组织中的最大团队数:1,500
启用团队同步
启用团队同步的步骤取决于要使用的 IdP。 有些启用团队同步的基本要求适用于每个 IdP。 每个 IdP 都有额外的基本要求。
基本要求
要对任何 IdP 启用团队同步,必须获得对 IdP 的管理访问权限,或与 IdP 管理员合作配置 IdP 集成和组。 配置 IdP 集成和组的人员必须拥有其中一项必要权限。
IdP | 所需权限 |
---|---|
Azure AD |
|
Okta |
|
您必须为您的组织和支持的 IdP 启用 SAML 单点登录。 更多信息请参阅“对组织实施 SAML 单点登录”。
您必须具有链接的 SAML 身份。 要创建链接身份,您必须至少使用 SAML SSO 和支持的 IdP 向您的组织进行身份验证一次。 更多信息请参阅“使用 SAML 单点登录进行身份验证”。
您的 SAML 设置必须包含颁发者字段的有效 IdP URL。
为 Azure AD 启用团队同步
要为 Azure AD 启用团队同步,Azure AD 安装需要以下权限:
- 读取所有用户的完整个人资料
- 登录和读取用户个人资料
- 读取目录数据
-
在 GitHub.com 的右上角,单击您的头像,然后单击 Your organizations(您的组织)。
-
在组织旁边,单击 Settings(设置)。
-
在边栏的“Security(安全性)”部分中,单击 Authentication security(身份验证安全性)。
-
确认已为您的组织启用 SAML SSO。 更多信息请参阅“管理组织的 SAML 单点登录”。
-
在“Team synchronization(团队同步)”下,单击 Enable for Azure AD(为 Azure AD 启用)。
-
确认团队同步。
- 如果您有 IdP 访问权限,则单击 Enable team synchronization(启用团队同步)。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
- 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。
-
查看要与组织连接的身份提供程序租户信息,然后单击 Approve(批准)。
为 Okta 启用团队同步
Okta 团队同步要求已为您的组织设置了具有 Okta 的 SAML 和 SCIM。
为避免与 Okta 发生潜在的团队同步错误,我们建议您先确认已为属于所选 Okta 组成员的所有组织成员正确设置了 SCIM 链接身份,然后再在 GitHub 上启用团队同步。
如果组织成员没有链接的 SCIM 身份,则团队同步将无法按预期工作,并且可能不会按预期在团队中添加或删除用户。 如果这些用户中的任何一个缺少 SCIM 链接身份,则需要重新预配它们。
有关预配缺少 SCIM 链接身份的用户的帮助,请参阅“身份和访问管理疑难解答”。
在为 Okta 启用团队同步之前,您或您的 IdP 管理员必须:
- 使用 Okta 为您的组织配置 SAML、SSO 和 SCIM 集成。 更多信息请参阅“使用 Okta 配置 SAML 单点登录和 SCIM”。
- 提供 Okta 实例的租户 URL。
- 为安装为服务用户的 Okta 生成具有只读管理员权限的有效 SSWS 令牌。 更多信息请参阅 Okta 文档中的创建令牌和服务用户。
-
在 GitHub.com 的右上角,单击您的头像,然后单击 Your organizations(您的组织)。
-
在组织旁边,单击 Settings(设置)。
-
在边栏的“Security(安全性)”部分中,单击 Authentication security(身份验证安全性)。
-
确认已为您的组织启用 SAML SSO。 更多信息请参阅“管理组织的 SAML 单点登录”。
-
建议确认您的用户已启用 SAML 并具有链接的 SCIM 标识,以避免潜在的预配错误。 有关审核用户的帮助,请参阅“审核用户是否缺少 SCIM 元数据”。 有关解决未链接的 SCIM 标识的帮助,请参阅标识和访问管理疑难解答”。
-
请考虑在组织中强制实施 SAML,以确保组织成员链接其 SAML 和 SCIM 身份。 更多信息请参阅“对组织实施 SAML 单点登录”。
-
在“Team synchronization(团队同步)”下,单击 Enable for Okta(为 Okta 启用)。
-
在组织名称下,输入有效的 SSWS 令牌和 Okta 实例的 URL。
-
查看要与组织连接的身份提供程序租户信息,然后单击 Create(创建)。
禁用团队同步
警告:禁用团队同步时,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能失去仓库访问权限。
-
在 GitHub.com 的右上角,单击您的头像,然后单击 Your organizations(您的组织)。
-
在组织旁边,单击 Settings(设置)。
-
在边栏的“Security(安全性)”部分中,单击 Authentication security(身份验证安全性)。
-
在“Team synchronization(团队同步)”下,单击 Disable team synchronization(禁用团队同步)。