Skip to main content

Verwalten der Teamsynchronisierung für deine Organisation

Du kannst die Teamsynchronisierung zwischen deinem Identitätsanbieter (IdP) und deiner Organisation auf GitHub Enterprise Cloud aktivieren oder deaktivieren.

Wer kann dieses Feature verwenden?

Organization owners can manage team synchronization for an organization.

Hinweis: Wenn dein Unternehmen Enterprise Managed Users verwendet, musst du keine Teamsynchronisierung verwenden. Stattdessen kannst du die Teammitgliedschaft über die SCIM-Konfiguration verwalten, die du beim Einrichten deines Unternehmens erstellt hast. Weitere Informationen findest du unter Verwalten von Teammitgliedschaften mit Identitätsanbietergruppen.

Informationen zur Teamsynchronisierung

Du kannst die Teamsynchronisierung zwischen deinem IdP und GitHub Enterprise Cloud aktivieren, um es den Organisationsinhabern und Team-Betreuern zu ermöglichen, Teams in deiner Organisation mit IdP-Gruppen zu verbinden.

Wenn die Teamsynchronisierung für dein Organisations- oder Unternehmenskonto aktiviert ist, kannst du ein GitHub-Team mit einer IdP-Gruppe synchronisieren. Wenn Du ein GitHub-Team mit einer IdP-Gruppe synchronisierst, spiegeln sich Mitgliedschaftsänderungen an der IdP-Gruppe automatisch in GitHub Enterprise Cloud wieder. Dies erspart Dir manuelle Aktualisierungen und die Ausführung benutzerdefinierter Skripts.

Um ein Team mit GitHub Enterprise Cloud mit einer IdP-Gruppe zu verbinden, muss das Team bereits in Deiner Organisation existieren. Selbst wenn Du die SCIM-Bereitstellung konfiguriert hast, erstellt das Erstellen einer Gruppe in Deinem IdP nicht automatisch mithilfe von GitHub Enterprise Cloud ein Team.

Hinweis: Für die Verwendung von SAML Single Sign-On muss deine Organisation GitHub Enterprise Cloud verwenden. Weitere Informationen zum kostenlosen Testen von GitHub Enterprise Cloud findest du unter Eine Testversion von GitHub Enterprise Cloud einrichten.

Du kannst Teamsynchronisierung mit unterstützten IdPs verwenden.

  • Kommerzielle Entra ID-Mandanten (Gov Cloud wird nicht unterstützt)
  • Okta

Die Teamsynchronisierung ist kein Benutzerbereitstellungsdienst und lädt in der Regel keine Nichtmitglieder zum Organisationsbeitritt ein. Das bedeutet, dass Benutzerinnen nur dann erfolgreich einem Team hinzugefügt werden, wenn sie bereits Organisationsmitglieder sind. Du kannst der Teamsynchronisierung jedoch optional gestatten, Benutzerinnen erneut einzuladen, die zuvor Mitglieder der Organisation waren und in der Zwischenzeit entfernt wurden.

Nachdem Du die Teamsynchronisierung aktiviert hast, können Team-Betreuer und Organisationsinhaber ein Team auf GitHub oder mit dem API zu einer IdP-Gruppe verbinden. Weitere Informationen findest du unter Ein Team mit einer Identitätsanbieter-Gruppe synchronisieren und unter REST-API-Endpunkte für Teams.

Du kannst die Teamsynchronisierung auch für alle Organisationen im Besitz eines Enterprise-Kontos aktivieren. Wenn SAML auf Unternehmensebene konfiguriert ist, kann die Teamsynchronisierung nicht für eine einzelne Organisation aktiviert werden. Stattdessen musst du die Teamsynchronisierung für das gesamte Unternehmen konfigurieren. Weitere Informationen findest du unter Verwalten der Teamsynchronisierung für Organisationen in deinem Unternehmen.

Wenn Deine Organisation im Besitz eines Enterprise-Kontos ist, wird die Aktivierung der Teamsynchronisierung für das Enterprise-Konto Deine Einstellungen für die Teamsynchronisierung auf Organisationsebene überschreiben. Weitere Informationen finden Sie unter Verwalten der Teamsynchronisierung für Organisationen in deinem Unternehmen.

Usage limits (Nutzungseinschränkungen)

Es gibt Nutzungsbeschränkungen für das Teamsynchonisierungsfeature. Das Überschreiten dieser Beschränkungen kann zu Leistungseinbußen und Synchronisierungsfehlern führen.

  • Maximale Anzahl von Mitgliedern in einem GitHub-Team: 5.000
  • Maximale Anzahl von Mitgliedern in einer GitHub-Organisation: 10.000
  • Maximale Anzahl von Teams in einer GitHub-Organisation: 1.500

Teamsynchronisierung aktivieren

Die Schritte zum Aktivieren von Teamsynchronisierung hängen vom IdP ab, den du verwenden möchtest. Es gibt Voraussetzungen zur Aktivierung der Teamsynchronisierung, die auf jeden IdP zutreffen. Jeder einzelne IdP hat zusätzliche Voraussetzungen.

Voraussetzungen

Um die Teamsynchronisierung mit einem beliebigen IdP zu aktivieren, musst Du administrativen Zugriff auf Deinen IdP erhalten oder mit Deinem IdP-Administrator zusammenarbeiten, um die IdP-Integration und die IdP-Gruppen zu konfigurieren. Die Person, die Deine IdP-Integration und IdP-Gruppen konfiguriert, muss über eine der erforderlichen Berechtigungen verfügen.

IdPErforderliche Berechtigungen
Entra ID
  • Globaler Administrator
  • Administrator für privilegierte Rollen
Okta
  • Dienstbenutzer mit schreibgeschützten Administratorberechtigungen

Du musst SAML Single Sign-On für deine Organisation und deinen unterstützten IdP aktivieren. Weitere Informationen findest du unter Erzwingen der einmaligen SAML-Anmeldung für deine Organisation.

Du benötigst eine verknüpfte SAML-Identität. Um eine verknüpfte Identität zu erstellen, musst du dich mit SAML SSO und dem unterstützten IdP mindestens einmal authentifizieren. Weitere Informationen findest du unter Authentifizierung mit SAML Single Sign-On.

Hinweis: Damit die Teamsynchronisierung funktioniert, müssen deine SAML-Einstellungen eine gültige IdP-URL für das Feld „Aussteller“ enthalten. Weitere Informationen findest du unter Aktivieren und Testen des einmaligen Anmeldens mit SAML für deine Organisation.

Teamsynchronisierung für Entra ID aktivieren

Um die Team-Synchronisation für Entra ID zu aktivieren, benötigt Ihre Entra ID Installation die folgenden Berechtigungen.

  • Vollständige Profile aller Benutzer lesen
  • Anmelden und Benutzerprofil lesen
  • Verzeichnisdaten lesen
  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.

  4. Bestätige, dass SAML-SSO für dein Unternehmen aktiviert ist.

  5. Klicken Sie unter „Teamsynchronisierung“ auf Für Entra ID aktivieren.

  6. Bestätige die Teamsynchronisierung.

    • Wenn du über IdP-Zugriff verfügst, klicke auf Teamsynchronisierung aktivieren. Du wirst auf die SAML SSO-Seite deines Identity Providers weitergeleitet und dort zur Auswahl deines Kontos und zur Überprüfung der angeforderten Berechtigungen aufgefordert.
    • Wenn du keinen IdP-Zugriff hast, kopiere den IdP-Weiterleitungs-Link und teile ihm mit deinem IdP-Administrator, um weiterhin die Teamsynchronisierung aktivieren zu können.
  7. Prüfe die Mandanteninformationen des Identitätsanbieters, dessen Verbindung mit deiner Organisation du herstellen möchtest, und klicke auf Genehmigen.

Teamsynchronisierung für Okta aktivieren

Okta-Teamsynchronisierung erfordert, dass SAML und SCIM mit Okta bereits für deine Organisation eingerichtet wurden.

Um potenzielle Teamsynchronisierungsfehler mit Okta zu vermeiden, solltest du sicherstellen, dass SCIM-verknüpfte Identitäten ordnungsgemäß für alle Organisationsmitglieder eingerichtet sind, die Mitglieder deiner ausgewählten Okta-Gruppen sind, bevor du die Teamsynchronisierung für GitHub aktivierst.

Wenn ein Organisationsmitglied nicht über eine verknüpfte SCIM-Identität verfügt, funktioniert die Teamsynchronisierung nicht wie erwartet, und der Benutzer wird möglicherweise nicht wie erwartet zu Teams hinzugefügt oder aus Teams entfernt. Wenn einem dieser Benutzer eine verknüpfte SCIM-Identität fehlt, musst du sie erneut bereitstellen.

Hilfe zum Bereitstellen für Benutzer, denen eine verknüpfte SCIM-Identität fehlt, findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation.

Bevor du die Teamsynchronisierung für Okta aktivierst, müssen du oder dein IdP-Administrator folgendes tun:

  • Die Integration von SAML, SSO und SCIM für deine Organisation mit Okta aktivieren. Weitere Informationen findest du unter SAML Single Sign-On und SCIM mit Okta konfigurieren.
  • Angeben der Mandanten-URL für Ihre Okta-Instanz.
  • Generieren eines gültigen SSWS-Token mit schreibgeschützten Administratorberechtigungen für Ihre Okta-Installation als Dienstbenutzer. Weitere Informationen findest du unter Create the token (Erstellen des Tokens) und Service users (Dienstbenutzer) in der Dokumentation zu Okta.
  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.

  4. Bestätige, dass SAML-SSO für dein Unternehmen aktiviert ist.

  5. Es wird empfohlen, sicherzustellen, dass deine Benutzer SAML aktiviert haben und über eine verknüpfte SCIM-Identität verfügen, um potenzielle Bereitstellungsfehler zu vermeiden. Weitere Informationen findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation.

  6. Erwäge, SAML in deiner Organisation zu erzwingen, um sicherzustellen, dass Organisationsmitglieder ihre SAML- und SCIM-Identitäten verknüpfen. Weitere Informationen findest du unter Erzwingen der einmaligen SAML-Anmeldung für deine Organisation.

  7. Klicke unter „Teamsynchronisierung“ auf Für Okta aktivieren.

  8. Gib unter dem Namen deiner Organisation im Feld „SSWS-Token“ ein gültiges SSWS-Token ein.

  9. Gib im Feld „URL“ die URL für deine Okta-Instanz ein.

  10. Prüfe die Mandanteninformationen des Identitätsanbieters, dessen Verbindung mit deiner Organisation du herstellen möchtest, und klicke auf Erstellen.

Festlegen, ob die Teamsynchronisierung Nichtmitglieder erneut zu deiner Organisation einladen kann

  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.

  4. Aktiviere oder deaktiviere unter „Teamsynchronisierung“ die Option Teamsynchronisierung darf ehemalige Mitglieder, die durch einen Organisationsbesitzer entfernt wurden, nicht erneut zur Organisation einladen.

Teamsynchronisierung deaktivieren

Warnung: Wenn du die Teamsynchronisierung deaktivierst, werden alle Teammitglieder, die einem GitHub-Team über die IdP-Gruppe zugewiesen waren, aus dem Team entfernt. Dadurch verlieren diese unter Umständen den Zugriff auf Repositorys.

  1. Wähle in der oberen rechten Ecke von GitHub.com dein Profilfoto aus. Klicke dann auf Deine Organisationen.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Deine Organisationen“ ist in dunklem Orange eingerahmt.

  2. Klicke neben der Organisation auf Einstellungen.

  3. Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.

  4. Klicke unter „Teamsynchronisierung“ auf Teamsynchronisierung deaktivieren.