ID プロバイダー グループを使用したチーム メンバーシップの管理

Enterprise Managed Users によるチーム管理について

Enterprise Managed Users では、GitHub 上のチームと IdP 上のグループを接続することで、IdP を介して Enterprise 内のチームと organization のメンバーシップを管理できます。 エンタープライズの組織のいずれかのチームを IdP グループに接続すると、IdP グループのメンバーシップに対する変更が自動的にエンタープライズに反映されるため、手動での更新やカスタム スクリプトの必要性が軽減されます。

IdP グループまたは新しいチーム接続を変更すると、ユーザーがまだメンバーではない organization 内のチームへの参加につながり、ユーザーが自動的に organization に追加されます。 チームからグループを切断すると、他の方法で組織のメンバーシップが割り当てられない場合、チーム メンバーシップを使用して組織のメンバーになったユーザーは組織から削除されます。

IdP 上でグループ メンバーシップが変更された場合、IdP は、IdP によって決定されたスケジュールに従い、その変更と共に SCIM 要求を GitHub に送信するため、変更が直ちに行われるわけではありません。 チームまたは組織のメンバーシップを変更する要求は、ユーザー プロビジョニングの構成に使用されたアカウントによって行われた変更として監査ログに登録されます。

GitHub では、1 日に 1 回調整ジョブも実行されます。これにより、SCIM 経由で IdP から以前に送信された情報に基づいて、GitHub に格納されている IdP グループ メンバーシップとチーム メンバーシップが同期されます。 このジョブで、ユーザーがエンタープライズ内の IdP グループのメンバーであるのに、マップされたチームまたはその組織のメンバーではないことがわかった場合、ジョブはそのユーザーを組織とチームに追加しようとします。

IdP グループに接続されているチームは、他のチームの親や別のチームの子にすることはできません。 IdP グループに接続したいチームが親または子チームの場合、新しいチームを作るか、チームを親チームにしている入れ子関係を削除することをお勧めします。

IdP グループに接続されたチームを含む、エンタープライズ内の任意のチームによるリポジトリへのアクセスを管理するには、GitHub 上で変更を行わなければなりません。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。

IdP グループを Team に接続するための要件

IdP グループを GitHub の Team に接続するには、そのグループを IdP 内の GitHub Enterprise Managed User アプリケーションに割り当てる必要があります。 詳しくは、「Managing team memberships with identity provider groups」を参照してください。

エンタープライズ内のチームを 1 つの IdP グループに接続できます。 同じ IdP グループをエンタープライズ内の複数のチームに割り当てることができます。

既存のチームを IdP グループに接続する場合は、最初に手動で追加されたすべてのメンバーを削除する必要があります。 エンタープライズ内のチームを IdP グループに接続した後、IdP 管理者は ID プロバイダーを通じてチーム メンバーシップを変更する必要があります。 チーム メンバーシップを GitHub で直接管理することはできません。

Microsoft Entra ID (旧称 Azure AD) を IdP として使用する場合、チームをセキュリティ グループにのみ接続できます。 入れ子になったグループ メンバーシップと Microsoft 365 グループはサポートされていません。

IdP グループに接続された新しいチームの作成

組織のメンバーは、新しいチームを作成し、チームを IdP グループに接続できます。

1. GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。

2. Organizationの名前をクリックしてください。

3. Organization 名の下で、 [Teams] をクリックします。

   

4. ページの上部にある [新しいチーム] をクリックします。

5. "Create new team（新規Teamの作成）"の下で、新しいTeamの名前を入力してください。

6. あるいは、"Description（説明）"フィールドにTeamの説明を入力してください。

7. チームを接続するには、[ID プロバイダー グループ] で [グループの選択] ドロップダウン メニューを選択し、接続するチームをクリックします。

8. [チームの表示] でチームの表示設定を選択します。

9. [Team の作成] をクリックします。

既存のチームと IdP グループ間の接続の管理

organization の所有者 は、IdP グループとチーム間の既存の接続を管理できます。 エンタープライズが マネージド ユーザー アカウント を使用していない場合、チーム メンテナは接続を管理することもできます。

1. GitHub の右上隅で、プロフィール写真をクリックし、[あなたのプロフィール] をクリックします。

   

2. GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。

3. Organization 名の下で、 [Teams] をクリックします。

   

4. チームの名前をクリックします。

5. Team ページの上部にある [設定] をクリックします。

   

6. 必要に応じて、[Identity Provider Groups](ID プロバイダー グループ) で、切断したい IdP グループの右にある をクリックします。

   

7. IdP グループを接続するには、[Identity Provider Groups](ID プロバイダー グループ) で、ドロップダウン メニューを使用してリストから ID プロバイダー グループを選択します。

   

8. [変更を保存] をクリックします。

IdP グループ、グループ メンバーシップ、接続されたチームの表示

エンタープライズ所有者は、IdP グループ、各グループのメンバーシップ、各グループに接続されているチームの一覧を確認できます。 このビューに一覧表示される IdP グループとメンバーシップは、SCIM 経由で IdP から GitHub に送信される情報に基づいています。 IdP のグループのメンバーシップを編集する必要があります。

1. GitHub の右上隅にあるプロフィール写真をクリックします。

2. ご自分の環境に応じて、[Your enterprise] または [Your enterprises] をクリックし、表示するエンタープライズをクリックします。

3. IdP グループの一覧を確認するには、左側のサイドバーで [ID プロバイダー] をクリックします。

4. IdP グループに接続されているメンバーとチームを表示するには、グループの名前をクリックします。

5. IdP グループに接続されているチームを表示するには、 [チーム] をクリックします。

チームが IdP 上のグループと同期されない場合、チームにはエラーが表示されます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップのトラブルシューティング」を参照してください。

Organization からのメンバーの削除

Enterprise によって所有されている organization にメンバーを追加する方法によって、organization からメンバーを削除する方法が決定されます。

• メンバーを手動で organization に追加した場合、手動で削除する必要があります。 IdP 上の GitHub Enterprise Managed User アプリケーションからユーザーの割り当て解除を行うと、ユーザーは停止されますが、organization から削除されません。
• IdP グループに追加されたために、ユーザーが organization のメンバーになった場合、organization に関連付けられている すべて のマップされた IdP グループからユーザーを削除します。

メンバーが 組織に追加された方法を確認するには、メンバー リストを種類でフィルター処理できます。 「Enterprise の人を表示する」を参照してください。