Skip to main content

将团队与身份提供程序组同步

你可以将 GitHub Enterprise Cloud 团队与支持的标识提供者 (IdP) 组同步,以自动添加和删除团队成员。

Who can use this feature

Organization owners and team maintainers can synchronize a GitHub team with an IdP group.

注意:如果企业使用 Enterprise Managed Users,则不能使用团队同步,并且必须改为将 SCIM 配置为管理标识提供者的成员身份。 有关详细信息,请参阅“为企业托管用户配置 SCIM 预配”。

关于团队同步

如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 有关详细信息,请参阅“为组织管理团队同步”和“为企业中的组织管理团队同步”。

您可以将最多 5 个 IdP 组连接到 GitHub Enterprise Cloud 团队。 您可以将 IdP 组分配给多个 GitHub Enterprise Cloud 团队。

团队同步不支持超过 5000 个成员的 IdP 组。

GitHub 团队连接到 IdP 组后,您的 IdP 管理员必须通过身份提供程序进行团队成员资格更改。 您不能在 GitHub Enterprise Cloud 上或使用 API 管理团队成员资格。

如果你的组织由企业帐户拥有,则对企业帐户启用团队同步将覆盖组织级的团队同步设置。 有关详细信息,请参阅管理企业帐户中组织的团队同步

通过 IdP 进行的所有团队成员资格更改都将在 GitHub Enterprise Cloud 的审核日志中显示为团队同步机器人所进行的更改。 您的 IdP 会将团队成员数据发送至 GitHub,每小时一次。 将团队连接到 IdP 组可能会删除一些团队成员。 有关详细信息,请参阅“同步团队成员的要求”。

父团队无法与 IdP 组同步。 如果要连接到 IdP 组的团队是父团队,我们建议您创建一个新团队或删除使团队成为父团队的嵌套关系。 有关详细信息,请参阅“关于团队”、“创建团队”和“在组织的层次结构中移动团队”。

要管理 GitHub 团队(包括连接到 IdP 组的团队)的仓库访问权限,您必须使用 GitHub Enterprise Cloud 进行更改。 有关详细信息,请参阅“关于团队”和“管理团队对组织存储库的访问权限”。

您还可以使用 API 管理团队同步。 有关详细信息,请参阅“团队同步”。

已同步团队成员的要求

将团队连接到 IdP 组后,团队同步仅在以下情况下将 IdP 组的每个成员添加到 GitHub Enterprise Cloud 上的相应团队:

  • 此人是 GitHub Enterprise Cloud 上的组织的成员。
  • 此人已使用 GitHub Enterprise Cloud 上的个人帐户登录,并至少一次通过 SAML 单一登录对组织或企业帐户进行了身份验证。
  • 此人的 SSO 身份是 IdP 组的成员。

不符合这些条件的现有团队或组成员将自动从 GitHub Enterprise Cloud 上的团队中删除,并失去对存储库的访问权限。 撤销用户关联的身份也会将用户从映射到 IdP 组的任何团队中删除。 有关详细信息,请参阅“查看和管理成员对组织的 SAML 访问”和“查看和管理用户对企业的 SAML 访问”。

删除后的团队成员在使用 SSO 向组织或企业帐户进行身份验证后可以自动添加回团队,并移动到已连接的 IdP 组。

为避免无意中删除团队成员,建议在组织或企业帐户中强制实施 SAML SSO,创建新团队以同步成员资格数据,并在同步现有团队之前检查 IdP 组成员资格。 有关详细信息,请参阅“为组织执行 SAML 单一登录”和“为企业配置 SAML 单一登录”。

先决条件

在连接 GitHub Enterprise Cloud 团队与身份提供程序组之前,组织或企业所有者必须为组织或企业帐户启用团队同步。 有关详细信息,请参阅“为组织管理团队同步”和“为企业帐户中的组织管理团队同步”。

为避免无意中删除团队成员,请访问 IdP 的管理门户,并确认每个当前团队成员也位于要连接到此团队的 IdP 组中。 如果您没有身份提供程序的这一访问权限,在可以联系 IdP 管理员。

您必须使用 SAML SSO 进行身份验证。 有关详细信息,请参阅“通过 SAML 单一登录进行身份验证”。

将 IdP 组连接到团队

将 IdP 组连接到 GitHub Enterprise Cloud 团队时,组中的所有用户都会自动添加到团队中。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中 2. 单击您的组织名称。 组织列表中的组织名称 1. 在组织名称下,单击 “团队”。 “团队”选项卡
  2. 在 Teams(团队)选项卡上,单击团队名称。 组织的团队列表 1. 在团队页面顶部,单击 “设置”。 团队设置选项卡
  3. 在“Identity Provider Groups(身份提供程序组)”下,使用下拉菜单,选择最多 5 个身份提供程序组。 用于选择标识提供程序组的下拉菜单
  4. 单击“保存更改”。

断开 IdP 组与团队的连接

如果您断开 IdP 组与 GitHub 团队的连接,则通过 IdP 组分配给 GitHub 团队的团队成员将从团队中删除。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。 贵组织在配置文件菜单中 2. 单击您的组织名称。 组织列表中的组织名称 1. 在组织名称下,单击 “团队”。 “团队”选项卡
  2. 在 Teams(团队)选项卡上,单击团队名称。 组织的团队列表 1. 在团队页面顶部,单击 “设置”。 团队设置选项卡
  3. 在“Identity Provider Groups(身份提供程序组)”下,单击要断开连接的 IdP 组右侧的 从 GitHub 团队取消选择已连接的 IdP 组
  4. 单击“保存更改”。