Skip to main content

ID プロバイダー グループを使用したチーム メンバーシップの管理

ID プロバイダー (IdP) を介して GitHub Enterprise Cloud の Team と Organization のメンバーシップを管理するには、IdP グループを マネージド ユーザーを含む Enterprise 内の Team に接続します。

この機能を使用できるユーザーについて

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳しくは、「Enterprise Managed Users について」を参照してください。

Enterprise Managed Users

を使用したチーム管理について

Enterprise Managed Users を使うと、GitHub 上の チーム を IdP グループに接続することで、IdP を介して Enterprise 内の チーム と 組織 のメンバーシップを管理できます。 エンタープライズの組織のいずれかのチームを IdP グループに接続すると、IdP グループのメンバーシップに対する変更が自動的にエンタープライズに反映されるため、手動での更新やカスタム スクリプトの必要性が軽減されます。

IdP グループまたは新しい Team 接続に変更を加えることで、マネージド ユーザー アカウントがメンバーではない Organization の Team に参加することになった場合、そのマネージド ユーザー アカウントは自動的にその Organization に追加されます。 チームからグループを切断すると、他の方法で組織のメンバーシップが割り当てられない場合、チーム メンバーシップを使用して組織のメンバーになったユーザーは組織から削除されます。

メモ: Organization の所有者は、アカウントが SCIM 経由でプロビジョニング済みである限り、マネージド ユーザー アカウントを Organization に手動で追加することもできます。

IdP 上でグループ メンバーシップが変更された場合、IdP は、IdP によって決定されたスケジュールに従い、その変更と共に SCIM 要求を GitHub.com に送信するため、変更が直ちに行われるわけではありません。 チームまたは組織のメンバーシップを変更する要求は、ユーザー プロビジョニングの構成に使用されたアカウントによって行われた変更として監査ログに登録されます。

GitHub では、1 日に 1 回調整ジョブも実行されます。これにより、SCIM 経由で IdP から以前に送信された情報に基づいて、GitHub に格納されている IdP グループ メンバーシップとチーム メンバーシップが同期されます。 このジョブで、ユーザーがエンタープライズ内の IdP グループのメンバーであるのに、マップされたチームまたはその組織のメンバーではないことがわかった場合、ジョブはそのユーザーを組織とチームに追加しようとします。

IdP グループに接続されているチームは、他のチームの親や別のチームの子にすることはできません。 IdP グループに接続したいチームが親または子チームの場合、新しいチームを作るか、チームを親チームにしている入れ子関係を削除することをお勧めします。

IdP グループに接続されたチームを含む、エンタープライズ内の任意のチームによるリポジトリへのアクセスを管理するには、GitHub.com 上で変更を行わなければなりません。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。

IdP グループを Team に接続するための要件

IdP グループを GitHub の Team に接続するには、そのグループを IdP 内の GitHub Enterprise Managed User アプリケーションに割り当てる必要があります。 詳しくは、「エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。

エンタープライズ内のチームを 1 つの IdP グループに接続できます。 同じ IdP グループをエンタープライズ内の複数のチームに割り当てることができます。

既存のチームを IdP グループに接続する場合は、最初に手動で追加されたすべてのメンバーを削除する必要があります。 エンタープライズ内のチームを IdP グループに接続した後、IdP 管理者は ID プロバイダーを通じてチーム メンバーシップを変更する必要があります。 チーム メンバーシップを GitHub.com で管理することはできません。

Microsoft Entra ID (旧称 Azure AD) を IdP として使用する場合、チームをセキュリティ グループにのみ接続できます。 入れ子になったグループ メンバーシップと Microsoft 365 グループはサポートされていません。

IdP グループに接続された新しいチームの作成

組織のメンバーは、新しいチームを作成し、チームを IdP グループに接続できます。

  1. GitHub.com の右上隅にあるプロファイル写真を選択し、次に自分の組織をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。

  2. Organizationの名前をクリックしてください。

  3. Organization 名の下で、 [Teams] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 人のアイコンと [チーム] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  4. ページの上部にある [新しいチーム] をクリックします。

  5. "Create new team(新規Teamの作成)"の下で、新しいTeamの名前を入力してください。

  6. あるいは、"Description(説明)"フィールドにTeamの説明を入力してください。

  7. チームを接続するには、[ID プロバイダー グループ] で [グループの選択] ドロップダウン メニューを選択し、接続するチームをクリックします。

  8. [チームの表示] でチームの表示設定を選択します。

  9. [Team の作成] をクリックします。

既存のチームと IdP グループ間の接続の管理

組織の所有者は、IdP グループとチームの間の既存の接続を管理できます。 エンタープライズがマネージド ユーザー アカウントを使っていない場合、チームの保守担当者も接続を管理できます。

: GitHub.com の既存のチームを初めて IdP グループに接続する前に、GitHub.com のチームのすべてのメンバーを最初に削除する必要があります。 詳しくは、「Team から Organization メンバーを削除する」を参照してください。

  1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分のプロファイル] をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [自分のプロファイル] が濃いオレンジ色の枠線で囲まれています。

  2. GitHub.com の右上隅にあるプロファイル写真を選択し、次に自分の組織をクリックします。

    @octocat のプロファイル写真の下にあるドロップダウン メニューのスクリーンショット。 [Your organizations] (自分の組織) が濃いオレンジ色の枠線で囲まれています。

  3. Organization 名の下で、 [Teams] をクリックします。

    組織の水平ナビゲーション バーのスクリーンショット。 人のアイコンと [チーム] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。

  4. チームの名前をクリックします。

  5. Team ページの上部にある [設定] をクリックします。

    チームのページのヘッダーのスクリーンショット。 歯車アイコンと [設定] というラベルがついたタブがオレンジ色の枠線で強調表示されています。

  6. 必要に応じて、[Identity Provider Groups](ID プロバイダー グループ) で、切断したい IdP グループの右にある をクリックします。 接続した IdP グループを GitHub チームから選択解除する。

  7. IdP グループを接続するには、[Identity Provider Groups](ID プロバイダー グループ) で、ドロップダウン メニューを使用してリストから ID プロバイダー グループを選択します。 ID プロバイダー グループを選択するためのドロップダウン メニュー。

  8. [変更を保存] をクリックします。

IdP グループ、グループ メンバーシップ、接続されたチームの表示

エンタープライズ所有者は、IdP グループ、各グループのメンバーシップ、各グループに接続されているチームの一覧を確認できます。 このビューに一覧表示される IdP グループとメンバーシップは、SCIM 経由で IdP から GitHub に送信される情報に基づいています。 IdP のグループのメンバーシップを編集する必要があります。

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. IdP グループの一覧を確認するには、左側のサイドバーで [ID プロバイダー] をクリックします。

  4. IdP グループに接続されているメンバーとチームを表示するには、グループの名前をクリックします。

  5. IdP グループに接続されているチームを表示するには、 [チーム] をクリックします。

チームが IdP 上のグループと同期されない場合、チームにはエラーが表示されます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップのトラブルシューティング」を参照してください。