ID プロバイダー グループを使用したチーム メンバーシップの管理

Enterprise Managed Users

を使用したチーム管理について

Enterprise Managed Users を使うと、GitHub Team を IdP グループに接続することで、IdP を介して Enterprise 内の Team と Organization のメンバーシップを管理できます。 エンタープライズの組織のいずれかのチームを IdP グループに接続すると、IdP グループのメンバーシップに対する変更が自動的にエンタープライズに反映されるため、手動での更新やカスタム スクリプトの必要性が軽減されます。

IdP グループまたは新しい Team 接続に変更を加えることで、マネージド ユーザー アカウントがメンバーではない Organization の Team に参加することになった場合、そのマネージド ユーザー アカウントは自動的にその Organization に追加されます。 チームからグループを切断すると、他の方法で組織のメンバーシップが割り当てられない場合、チーム メンバーシップを使用して組織のメンバーになったユーザーは組織から削除されます。

IdP 上でグループ メンバーシップが変更された場合、IdP は、IdP によって決定されたスケジュールに従い、その変更と共に SCIM 要求を GitHub.com に送信するため、変更が直ちに行われるわけではありません。 チームまたは組織のメンバーシップを変更する要求は、ユーザー プロビジョニングの構成に使用されたアカウントによって行われた変更として監査ログに登録されます。

GitHub では、1 日に 1 回調整ジョブも実行されます。これにより、SCIM 経由で IdP から以前に送信された情報に基づいて、GitHub に格納されている IdP グループ メンバーシップとチーム メンバーシップが同期されます。 このジョブで、ユーザーがエンタープライズ内の IdP グループのメンバーであるのに、マップされたチームまたはその組織のメンバーではないことがわかった場合、ジョブはそのユーザーを組織とチームに追加しようとします。

IdP グループに接続されているチームは、他のチームの親や別のチームの子にすることはできません。 IdP グループに接続したいチームが親または子チームの場合、新しいチームを作るか、チームを親チームにしている入れ子関係を削除することをお勧めします。

IdP グループに接続されたチームを含む、エンタープライズ内の任意のチームによるリポジトリへのアクセスを管理するには、GitHub.com 上で変更を行わなければなりません。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。

IdP グループを Team に接続するための要件

IdP グループを GitHub の Team に接続するには、そのグループを IdP 内の GitHub Enterprise Managed User アプリケーションに割り当てる必要があります。 詳しくは、「エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。

エンタープライズ内のチームを 1 つの IdP グループに接続できます。 同じ IdP グループをエンタープライズ内の複数のチームに割り当てることができます。

既存のチームを IdP グループに接続する場合は、最初に手動で追加されたすべてのメンバーを削除する必要があります。 エンタープライズ内のチームを IdP グループに接続した後、IdP 管理者は ID プロバイダーを通じてチーム メンバーシップを変更する必要があります。 チーム メンバーシップを GitHub.com で管理することはできません。

Azure AD を IdP として使う場合、チームをセキュリティ グループにのみ接続できます。 入れ子になったグループ メンバーシップと Microsoft 365 グループはサポートされていません。

IdP グループに接続された新しいチームの作成

組織のメンバーは、新しいチームを作成し、チームを IdP グループに接続できます。

1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。

   

2. Organizationの名前をクリックしてください。

3. Organization 名の下で、 [Teams] をクリックします。

   

4. ページの上部にある [新しいチーム] をクリックします。

5. "Create new team（新規Teamの作成）"の下で、新しいTeamの名前を入力してください。

6. あるいは、"Description（説明）"フィールドにTeamの説明を入力してください。

7. チームを接続するには、[ID プロバイダー グループ] で [グループの選択] ドロップダウン メニューを選択し、接続するチームをクリックします。

8. [チームの表示] でチームの表示設定を選択します。

9. [Team の作成] をクリックします。

既存のチームと IdP グループ間の接続の管理

組織の所有者は、IdP グループとチームの間の既存の接続を管理できます。 エンタープライズがマネージド ユーザー アカウントを使っていない場合、チームの保守担当者も接続を管理できます。

1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分のプロファイル] をクリックします。

   

2. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。

   

3. Organization 名の下で、 [Teams] をクリックします。

   

4. チームの名前をクリックします。

5. Team ページの上部にある [設定] をクリックします。

   

6. 必要に応じて、[Identity Provider Groups](ID プロバイダー グループ) で、切断したい IdP グループの右にある をクリックします。

7. IdP グループを接続するには、[Identity Provider Groups](ID プロバイダー グループ) で、ドロップダウン メニューを使用してリストから ID プロバイダー グループを選択します。

8. [変更を保存] をクリックします。

IdP グループ、グループ メンバーシップ、接続されたチームの表示

エンタープライズ所有者は、IdP グループ、各グループのメンバーシップ、各グループに接続されているチームの一覧を確認できます。 このビューに一覧表示される IdP グループとメンバーシップは、SCIM 経由で IdP から GitHub に送信される情報に基づいています。 IdP のグループのメンバーシップを編集する必要があります。

1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。

2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

3. IdP グループの一覧を確認するには、左側のサイドバーで [ID プロバイダー] をクリックします。

4. IdP グループに接続されているメンバーとチームを表示するには、グループの名前をクリックします。

5. IdP グループに接続されているチームを表示するには、 [チーム] をクリックします。