Skip to main content

使用 Azure AD 为企业配置身份验证和预配

可以使用 Azure Active Directory (Azure AD) 中的租户作为标识提供者 (IdP) 来集中管理your enterprise的身份验证和用户预配。

Who can use this feature

Enterprise owners can configure authentication and provisioning for an enterprise on GitHub AE.

关于使用 Azure AD 进行身份验证和用户预配

Azure Active Directory (Azure AD) 是一项来自 Microsoft 的服务,它允许您集中管理用户帐户和 web 应用程序访问。 有关详细信息,请参阅 Microsoft Docs 中的什么是 Azure Active Directory?

要管理身份以及对 GitHub AE 的访问,您可以使用 Azure AD 租户作为 SAML IdP 进行身份验证。 也可以配置 Azure AD 以自动预配帐户并获取 SCIM 成员资格,这样你可以创建 GitHub AE 用户,并从你的 Azure AD 租户管理团队和组织成员资格。

使用 Azure AD 对 GitHub AE 启用 SAML SSO 和 SCIM 后,你可以从 Azure AD 租户完成以下任务。

  • 将 Azure AD 上的 GitHub AE 应用程序分配给用户帐户,以便在 GitHub AE 上自动创建并授予对相应用户帐户的访问权限。
  • 为 Azure AD 上的用户帐户取消分配 GitHub AE 应用程序,以便在 GitHub AE 上停用相应的用户帐户。
  • 为 Azure AD 上的 IdP 组分配 GitHub AE 应用程序,以便为 IdP 组的所有成员自动创建并授予对 GitHub AE 上用户帐户的访问权限。 此外,IdP 组也可以在 GitHub AE 上连接到团队及其父组织。
  • 从 IdP 组取消分配 GitHub AE 应用程序来停用仅通过该 IdP 组访问的所有 IdP 用户的 GitHub AE 用户帐户,并从父组织中删除这些用户。 IdP 组将与 GitHub AE 上的任何团队断开连接。

有关在your enterprise上管理企业的身份验证和访问控制的详细信息,请参阅“管理企业的身份验证和访问控制”。 有关将团队与 IdP 组同步的详细信息,请参阅“将团队与标识提供者组同步”。

先决条件

使用 Azure AD 配置身份验证和用户预配

在 Azure AD 租户中,添加 GitHub AE 的应用程序,然后配置预配。

  1. 在 Azure AD 中,将 GitHub AE application 添加到租户并配置单一登录。 有关详细信息,请参阅 Microsoft Docs 中的教程:Azure Active Directory 单一登录 (SSO) 与 GitHub AE 的集成

  2. 在 GitHub AE 中,输入 Azure AD 租户的详细信息。

    • 您将在初始化过程中输入SAML IdP 的详细信息,以配置 GitHub AE 的身份和访问管理。 有关详细信息,请参阅“初始化 GitHub AE”。

    • 如果已使用其他 IdP 为your enterprise配置 SAML SSO,并且希望改为使用 Azure AD,你可以编辑配置。 有关详细信息,请参阅“为企业配置 SAML 单一登录”。

  3. 在 GitHub AE 中启用用户预配,并在 Azure AD 中配置用户预配。 有关详细信息,请参阅“为企业配置用户预配”。

  1. 在 Azure AD 中为 GitHub AE 分配企业所有者。 应遵循的过程取决于你是否配置了预配。 有关企业所有者的详细信息,请参阅“企业中的角色”。
    • 如果配置了预配,要向用户授予 GitHub AE 中的企业所有权,请在 Azure AD 中为用户分配企业所有者角色。
    • 如果未配置预配,要向用户授予 GitHub AE 中的企业所有权,请在 IdP 上的用户帐户的 SAML 断言中包含 administrator 属性,其值为 true。 有关在 Azure AD 的 SAML 声明中包含 administrator 属性的详细信息,请参阅 Microsoft Docs 中的如何:为企业应用程序自定义 SAML 令牌中颁发的声明