Hinweis: Wenn dein Unternehmen Enterprise Managed Users verwendet, musst du keine Teamsynchronisierung verwenden. Stattdessen kannst du die Teammitgliedschaft über die SCIM-Konfiguration verwalten, die du beim Einrichten deines Unternehmens erstellt hast. Weitere Informationen findest du unter Verwalten von Teammitgliedschaften mit Identitätsanbietergruppen.
Informationen zur Teamsynchronisierung
Du kannst die Teamsynchronisierung zwischen deinem IdP und GitHub Enterprise Cloud aktivieren, um es den Organisationsinhabern und Team-Betreuern zu ermöglichen, Teams in deiner Organisation mit IdP-Gruppen zu verbinden.
Wenn die Teamsynchronisierung für dein Organisations- oder Unternehmenskonto aktiviert ist, kannst du ein GitHub-Team mit einer IdP-Gruppe synchronisieren. Wenn Du ein GitHub-Team mit einer IdP-Gruppe synchronisierst, spiegeln sich Mitgliedschaftsänderungen an der IdP-Gruppe automatisch in GitHub Enterprise Cloud wieder. Dies erspart Dir manuelle Aktualisierungen und die Ausführung benutzerdefinierter Skripts.
Um ein Team mit GitHub Enterprise Cloud mit einer IdP-Gruppe zu verbinden, muss das Team bereits in Deiner Organisation existieren. Selbst wenn Du die SCIM-Bereitstellung konfiguriert hast, erstellt das Erstellen einer Gruppe in Deinem IdP nicht automatisch mithilfe von GitHub Enterprise Cloud ein Team.
Hinweis: Für die Verwendung von SAML Single Sign-On muss deine Organisation GitHub Enterprise Cloud verwenden. Weitere Informationen zum kostenlosen Testen von GitHub Enterprise Cloud findest du unter Eine Testversion von GitHub Enterprise Cloud einrichten.
Du kannst Teamsynchronisierung mit unterstützten IdPs verwenden.
- Kommerzielle Entra ID-Mandanten (Gov Cloud wird nicht unterstützt)
- Okta
Die Teamsynchronisierung ist kein Benutzerbereitstellungsdienst und lädt in der Regel keine Nichtmitglieder zum Organisationsbeitritt ein. Das bedeutet, dass Benutzerinnen nur dann erfolgreich einem Team hinzugefügt werden, wenn sie bereits Organisationsmitglieder sind. Du kannst der Teamsynchronisierung jedoch optional gestatten, Benutzerinnen erneut einzuladen, die zuvor Mitglieder der Organisation waren und in der Zwischenzeit entfernt wurden.
Nachdem Du die Teamsynchronisierung aktiviert hast, können Team-Betreuer und Organisationsinhaber ein Team auf GitHub oder mit dem API zu einer IdP-Gruppe verbinden. Weitere Informationen findest du unter Ein Team mit einer Identitätsanbieter-Gruppe synchronisieren und unter REST-API-Endpunkte für Teams.
Du kannst die Teamsynchronisierung auch für alle Organisationen im Besitz eines Enterprise-Kontos aktivieren. Wenn SAML auf Unternehmensebene konfiguriert ist, kann die Teamsynchronisierung nicht für eine einzelne Organisation aktiviert werden. Stattdessen musst du die Teamsynchronisierung für das gesamte Unternehmen konfigurieren. Weitere Informationen findest du unter Verwalten der Teamsynchronisierung für Organisationen in deinem Unternehmen.
Wenn Deine Organisation im Besitz eines Enterprise-Kontos ist, wird die Aktivierung der Teamsynchronisierung für das Enterprise-Konto Deine Einstellungen für die Teamsynchronisierung auf Organisationsebene überschreiben. Weitere Informationen finden Sie unter Verwalten der Teamsynchronisierung für Organisationen in deinem Unternehmen.
Usage limits (Nutzungseinschränkungen)
Es gibt Nutzungsbeschränkungen für das Teamsynchonisierungsfeature. Das Überschreiten dieser Beschränkungen kann zu Leistungseinbußen und Synchronisierungsfehlern führen.
- Maximale Anzahl von Mitgliedern in einem GitHub-Team: 5.000
- Maximale Anzahl von Mitgliedern in einer GitHub-Organisation: 10.000
- Maximale Anzahl von Teams in einer GitHub-Organisation: 1.500
Teamsynchronisierung aktivieren
Die Schritte zum Aktivieren von Teamsynchronisierung hängen vom IdP ab, den du verwenden möchtest. Es gibt Voraussetzungen zur Aktivierung der Teamsynchronisierung, die auf jeden IdP zutreffen. Jeder einzelne IdP hat zusätzliche Voraussetzungen.
Voraussetzungen
Um die Teamsynchronisierung mit einem beliebigen IdP zu aktivieren, musst Du administrativen Zugriff auf Deinen IdP erhalten oder mit Deinem IdP-Administrator zusammenarbeiten, um die IdP-Integration und die IdP-Gruppen zu konfigurieren. Die Person, die Deine IdP-Integration und IdP-Gruppen konfiguriert, muss über eine der erforderlichen Berechtigungen verfügen.
IdP | Erforderliche Berechtigungen |
---|---|
Entra ID |
|
Okta |
|
Du musst SAML Single Sign-On für deine Organisation und deinen unterstützten IdP aktivieren. Weitere Informationen findest du unter Erzwingen der einmaligen SAML-Anmeldung für deine Organisation.
Du benötigst eine verknüpfte SAML-Identität. Um eine verknüpfte Identität zu erstellen, musst du dich mit SAML SSO und dem unterstützten IdP mindestens einmal authentifizieren. Weitere Informationen findest du unter Authentifizierung mit SAML Single Sign-On.
Hinweis: Damit die Teamsynchronisierung funktioniert, müssen deine SAML-Einstellungen eine gültige IdP-URL für das Feld „Aussteller“ enthalten. Weitere Informationen findest du unter Aktivieren und Testen des einmaligen Anmeldens mit SAML für deine Organisation.
Teamsynchronisierung für Entra ID aktivieren
Um die Team-Synchronisation für Entra ID zu aktivieren, benötigt Ihre Entra ID Installation die folgenden Berechtigungen.
- Alle Gruppenmitgliedschaften lesen: GitHub ruft eine Liste von Entra-Gruppen ab, damit Benutzer eine Gruppe zur Synchronisierung mit einem bestimmten GitHub-Team auswählen können.
- Vollständige Profile aller Benutzer lesen: GitHub ruft eine Liste der Entra-IDs und Entra-Anzeigenamen/vollständigen Namen der Mitglieder für die Synchronisierung einer Entra-Gruppe und eines GitHub-Teams ab.
- Anmelden und Benutzerprofil lesen: Wenn SAML SSO aktiviert ist, müssen Benutzer sich als Voraussetzung für die Teamsynchronisierung per Single Sign-On bei der Entra-Anwendung anmelden.
- Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
- Klicke neben der Organisation auf Einstellungen.
- Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.
- Bestätige, dass SAML-SSO für dein Unternehmen aktiviert ist.
- Klicken Sie unter „Teamsynchronisierung“ auf Für Entra ID aktivieren.
- Bestätige die Teamsynchronisierung.
- Wenn du über IdP-Zugriff verfügst, klicke auf Teamsynchronisierung aktivieren. Du wirst auf die SAML SSO-Seite deines Identity Providers weitergeleitet und dort zur Auswahl deines Kontos und zur Überprüfung der angeforderten Berechtigungen aufgefordert.
- Wenn du keinen IdP-Zugriff hast, kopiere den IdP-Weiterleitungs-Link und teile ihm mit deinem IdP-Administrator, um weiterhin die Teamsynchronisierung aktivieren zu können.
- Prüfe die Mandanteninformationen des Identitätsanbieters, dessen Verbindung mit deiner Organisation du herstellen möchtest, und klicke auf Genehmigen.
Teamsynchronisierung für Okta aktivieren
Okta-Teamsynchronisierung erfordert, dass SAML und SCIM mit Okta bereits für deine Organisation eingerichtet wurden.
Um potenzielle Teamsynchronisierungsfehler mit Okta zu vermeiden, solltest du sicherstellen, dass SCIM-verknüpfte Identitäten ordnungsgemäß für alle Organisationsmitglieder eingerichtet sind, die Mitglieder deiner ausgewählten Okta-Gruppen sind, bevor du die Teamsynchronisierung für GitHub aktivierst.
Wenn ein Organisationsmitglied nicht über eine verknüpfte SCIM-Identität verfügt, funktioniert die Teamsynchronisierung nicht wie erwartet, und der Benutzer wird möglicherweise nicht wie erwartet zu Teams hinzugefügt oder aus Teams entfernt. Wenn einem dieser Benutzer eine verknüpfte SCIM-Identität fehlt, musst du sie erneut bereitstellen.
Hilfe zum Bereitstellen für Benutzer, denen eine verknüpfte SCIM-Identität fehlt, findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation.
Bevor du die Teamsynchronisierung für Okta aktivierst, müssen du oder dein IdP-Administrator folgendes tun:
- Die Integration von SAML, SSO und SCIM für deine Organisation mit Okta aktivieren. Weitere Informationen findest du unter SAML Single Sign-On und SCIM mit Okta konfigurieren.
- Angeben der Mandanten-URL für Ihre Okta-Instanz.
- Generieren eines gültigen SSWS-Token mit schreibgeschützten Administratorberechtigungen für Ihre Okta-Installation als Dienstbenutzer. Weitere Informationen findest du unter Create the token (Erstellen des Tokens) und Service users (Dienstbenutzer) in der Dokumentation zu Okta.
- Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
- Klicke neben der Organisation auf Einstellungen.
- Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.
- Bestätige, dass SAML-SSO für dein Unternehmen aktiviert ist.
- Es wird empfohlen, sicherzustellen, dass deine Benutzer SAML aktiviert haben und über eine verknüpfte SCIM-Identität verfügen, um potenzielle Bereitstellungsfehler zu vermeiden. Weitere Informationen findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation.
- Erwäge, SAML in deiner Organisation zu erzwingen, um sicherzustellen, dass Organisationsmitglieder ihre SAML- und SCIM-Identitäten verknüpfen. Weitere Informationen findest du unter Erzwingen der einmaligen SAML-Anmeldung für deine Organisation.
- Klicke unter „Teamsynchronisierung“ auf Für Okta aktivieren.
- Gib unter dem Namen deiner Organisation im Feld „SSWS-Token“ ein gültiges SSWS-Token ein.
- Gib im Feld „URL“ die URL für deine Okta-Instanz ein.
- Prüfe die Mandanteninformationen des Identitätsanbieters, dessen Verbindung mit deiner Organisation du herstellen möchtest, und klicke auf Erstellen.
Festlegen, ob die Teamsynchronisierung Nichtmitglieder erneut zu deiner Organisation einladen kann
Änderungen an dieser Einstellung wirken sich nicht auf ausstehende Einladungen aus. Alle Einladungen, die während der Teamsynchronisierung generiert wurden, konnten frühere Mitglieder in die Organisation erneut einladen, können dazu führen, dass das Mitglied der Organisation erneut hinzugefügt wird, auch wenn eine erneute Einladung seitdem nicht zulässig ist.
- Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
- Klicke neben der Organisation auf Einstellungen.
- Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.
- Aktiviere oder deaktiviere unter „Teamsynchronisierung“ die Option Teamsynchronisierung darf ehemalige Mitglieder, die durch einen Organisationsbesitzer entfernt wurden, nicht erneut zur Organisation einladen.
Teamsynchronisierung deaktivieren
Warnung: Wenn du die Teamsynchronisierung deaktivierst, werden alle Teammitglieder, die einem GitHub-Team über die IdP-Gruppe zugewiesen waren, aus dem Team entfernt. Dadurch verlieren diese unter Umständen den Zugriff auf Repositorys.
- Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
- Klicke neben der Organisation auf Einstellungen.
- Klicke im Abschnitt „Sicherheit“ der Randleiste auf Authentifizierungssicherheit.
- Klicke unter „Teamsynchronisierung“ auf Teamsynchronisierung deaktivieren.