为企业配置用户预配

您可以为企业配置跨域身份管理 (SCIM),以在将 您的企业 的应用程序分配给身份提供商 (IdP) 上的用户时,就自动在 您的企业 上预配用户帐户。

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

SAML 单点登录可用于 GitHub Enterprise Cloud 和 GitHub AE。 更多信息请参阅“GitHub's products”。

关于企业的用户预配

GitHub AE 使用 SAML SSO 进行用户身份验证。 您可以从支持 SAML 2.0 标准的 IdP 集中管理对 GitHub AE 的访问。 更多信息请参阅“配置企业的 SAML 单点登录”。

默认情况下,当您分配或取消分配应用程序时,您的 IdP 不会自动与 GitHub AE 通信。 第一次有人浏览 GitHub AE 上的资源并通过 IdP 验证登录时,GitHub AE 创建用户帐户 。 当您授予 GitHub AE 的访问权限时,您可能需要手动通知用户,并且在停用期间必须手动 停用 GitHub AE 上的用户帐户。 当您在 IdP 上分配或取消分配应用程序时,您可以使用 SCIM 在 GitHub.com 上自动预配和解除预配 GitHub AE 的用户帐户和访问。 有关 SCIM 的更多信息,请参阅 IETF 网站上的跨域身份管理系统:协议 (RFC 7644)

配置预配允许 IdP 在您将 GitHub AE 的应用程序分配或取消分配给 IdP 上的用户时与 您的企业 通信。 当您分配应用程序时,IdP 将提示 您的企业 创建帐户并向用户发送一封登录电子邮件。 取消分配应用程序时,IdP 将与 GitHub AE 通信以取消任何 SAML 会话并禁用成员的帐户。

要为企业配置预配,必须在 GitHub AE 上启用预配,然后在 IdP 上安装和配置预配应用程序。

IdP 上的预配应用程序通过企业的 SCIM API 与 GitHub AE 通信。 更多信息请参阅 GitHub REST API 文档中的“GitHub Enterprise 管理”。

支持的身份提供程序

下面的 IdP 可以使用 SCM 在 您的企业 上预配或解除预配用户帐户。

  • Azure AD

在使用支持的 IdP 设置用户预配时,您也可以将 GitHub AE 的应用程序分配或取消分配给用户组。 然后,这些组可供 您的企业 中的组织所有者和团队维护员用来映射到 GitHub AE 团队。 更多信息请参阅“同步团队与身份提供程序组”。

基本要求

要自动预配和解除预配从 IdP 访问 您的企业,必须先在初始化 GitHub AE 时配置 SAML SSO。 更多信息请参阅“初始化 GitHub AE。”

您必须对 IdP 具有管理访问权限,才能配置应用程序进行 GitHub AE 的用户预配。

为企业启用用户预配

  1. 登录到 您的企业 时,创建作用域为 admin:enterprise 的个人访问令牌。 更多信息请参阅“创建个人访问令牌”。

    注意

    • 要创建个人访问令牌,我们建议使用初始化期间创建的第一个企业所有者的帐户。 更多信息请参阅“初始化 GitHub AE。”
    • 您需要此个人访问令牌在 IdP 上为 SCIM 配置应用程序。 将令牌安全地存储在密码管理器中,直到您稍后在这些说明中再次需要该令牌。

    警告:如果创建个人访问令牌的企业所有者的用户帐户已停用或取消预配,则您的 IdP 将不再自动预配和取消预配企业用户帐户。 另一个企业所有者必须创建新的个人访问令牌,并在 IdP 上重新配置预配。

  2. 在 GitHub AE 的右上角,单击您的个人资料照片,然后单击 Enterprise settings(Enterprise 设置)GitHub AE 上个人资料照片下拉菜单中的"Enterprise settings(企业设置)"

  3. 在企业帐户侧边栏中,单击 Settings(设置)企业帐户侧边栏中的“设置”选项卡

  4. 在左侧边栏中,单击 Security(安全)Security tab in the enterprise account settings sidebar

  5. 在“SAML User Provisioning(SAML 用户预配)”下,选择 Require SCIM user provisioning(需要 SAML 用户预配)企业安全性设置内的"Require SCIM user provisioning(需要 SCIM 用户预配)"复选框

  6. 单击 Save(保存)企业安全性设置中"Require SCIM user provisioning(需要 SCIM 用户预配)"下的 Save(保存)按钮

  7. 在 IdP 上 GitHub AE 的应用程序中配置用户预配。

    以下 IdP 提供有关为 GitHub AE 配置预配的文档。 如果您的 IdP 未列出,请与您的 IdP 联系,以请求 GitHub AE。

    IdP更多信息
    Azure AD教程:Microsoft 文档中的“配置 GitHub AE 进行自动用户预配

    IdP 上的应用程序需要两个值来预配或取消预配 您的企业 上的用户帐户。

    其他名称描述示例
    URL租户 URLGitHub AE 上企业的 SCIM 预配 API 的 URL
    https://api.YOUR-GITHUB-AE-HOSTNAME/scim/v2
    共享机密个人访问令牌、机密令牌IdP 上的应用程序用于代表企业所有者执行预配任务的令牌您在步骤 1 中创建的个人访问令牌

此文档对您有帮助吗?隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。