Enterprise におけるロール

この記事の内容

Enterprise 内の全員が Enterprise のメンバーです。 Enterprise の設定とデータへのアクセスを制御するために、Enterprise のメンバーにさまざまなロールを割り当てることができます。

Enterprise のロールについて

エンタープライズの一部であるすべてのユーザーには、次のいずれかのロールがあります。

  • エンタープライズ所有者
  • 支払いマネージャー
  • エンタープライズ メンバー
  • ゲスト コラボレーター (Enterprise Managed Users のみ)

企業が Enterprise Managed Users を使用していない場合は、GitHub を使用して、誰かをエンタープライズ所有者または支払いマネージャーに招待できます。 詳しくは、「Enterprise を管理するようユーザを招待する」を参照してください。

Enterprise Managed Users を使用する場合は、ID プロバイダーを通じて、所有者、支払いマネージャー、メンバー、およびゲストコラボレーターをすべて新しくプロビジョニングする必要があります。 GitHub を使用して Enterprise に追加することはできません。 それぞれのメンバーの エンタープライズロールは、IdP を使用して選択する必要があります。GitHub で変更することはできません。 しかしながら、GitHub を使用すると、組織内のメンバーのロールを選択できます。 詳しくは、「Enterprise Managed Users について」を参照してください。

Enterprise 所有者

Enterprise 所有者は、Enterprise の完全な管理権限を持ち、以下を含むすべての操作を行うことができます。

  • 管理者を管理する
  • エンタープライズに対する組織の追加と削除
  • Enterprise が所有するすべての Organization からの Enterprise メンバーの削除
  • Enterprise 設定を管理する
  • Organization 全体でのポリシーの適用 - 課金設定の管理

エンタープライズの所有者は、既定では組織の設定やコンテンツにアクセスできません。 アクセス権を取得するために、Enterprise 所有者は、Enterprise が所有する任意の Organization に参加できます。 詳しくは、「Enterprise によって所有される Organization のロールを管理する」を参照してください。

Enterprise 内の Organization の所有者は、Enterprise 所有者にならない限り、Enterprise にはアクセスできません。

Enterprise の所有者は、Enterprise 内の少なくとも 1 つの Organization の所有者またはメンバーである場合にのみ、ライセンスを消費できます。 Enterprise 所有者が複数の Organization でロールを持っている場合でも、単一のライセンスを使用します。 Enterprise 所有者は GitHub に個人アカウントを持っている必要があります。ベスト プラクティスとして、ビジネスへのリスクを軽減するために、社内のごく少数のみを Enterprise 所有者にすることをお勧めします。

支払いマネージャー

支払いマネージャーは、Enterprise の支払い設定にのみアクセスできます。 Enterprise の支払いマネージャーは次の操作ができます。

  • ユーザライセンス、Git LFS パック、およびその他の支払い設定の閲覧および管理
  • 支払いマネージャーのリストを閲覧
  • 他の支払いマネージャーの追加または削除

支払いマネージャーは、Enterprise 内の少なくとも 1 つの Organization の所有者またはメンバーである場合にのみ、ライセンスを消費できます。 支払いマネージャーは、Enterprise の Organization またはリポジトリにアクセスすることはできません。また、Enterprise の所有者を追加または削除することもできません。 支払いマネージャーは、GitHub 上に個人アカウントを持っていなければなりません。

Enterprise メンバー

Enterprise が所有する Organization のメンバーも、自動的に Enterprise のメンバーになります。 メンバーは Organization で共同作業を行うことができ、Organization 所有者である場合があります。しかし、メンバーは、課金設定を含む、Enterprise 設定に対するアクセスや構成を行うことはできません。

エンタープライズ メンバーは、エンタープライズ内の任意の組織が所有する、すべてのリポジトリの「内部」を見ることができます。 内部リポジトリについて詳しくは、「リポジトリについて」をご覧ください。

Enterprise 内のユーザは、Enterprise が所有するさまざまな Organization およびそれらの Organization 内のリポジトリへのあらゆるレベルのアクセス権を持つことができます。 各個人がアクセスできるリソースを確認することができます。 詳しくは、「Enterprise の人を表示する」を参照してください。

組織が所有するリポジトリへの外部のコラボレータアクセス権を持つユーザも、Enterprise の [People] タブに一覧表示されますが、エンタープライズメンバーではなく、Enterprise へのアクセス権はありません。 外部コラボレーターの詳細については、「Organizationのロール」を参照してください。

ゲスト コラボレーター

注: ゲスト コラボレーターロールは、Enterprise Managed Users でのみ使用できます。 この機能は現在パブリック ベータ版であり、変更されることがあります。

エンタープライズで Enterprise Managed Users を使用している場合は、ゲストコラボレーターのロールを使用して、ベンダーと請負業者への制限付きアクセスを許可できます。 すべての マネージド ユーザー アカウント と同様に、ゲスト コラボレーターは IdP によってプロビジョニングされます。 エンタープライズ メンバーとは異なり、ゲスト コラボレーターは、アクセス許可を追加した特定のリポジトリまたは組織にのみアクセスできます。

現時点では、その組織のリポジトリへのアクセスをゲスト コラボレーターに許可するには、ゲスト コラボレーターを組織チームに追加する必要があります。 組織チームに追加されると、組織のメンバーになります。 ゲストコラボレーターは、メンバーになっている組織内の内部リポジトリと、アクセスを明示的に承認されているプライベートリポジトリにのみアクセスできます。 ゲストコラボレーターには、メンバーではない組織内の内部リポジトリは表示されません。

ゲスト コラボレーターは、GitHub チームに接続されている IdP グループのメンバーになることができます。 ただしゲスト コラボレーターは、SCIM を使用して組織に追加されることはありません。 詳しくは、「Managing team memberships with identity provider groups」を参照してください。

ユーザーが内部リポジトリにアクセスできないようにするには、ユーザーにゲスト コラボレーターロールのみが直接割り当てられているか、またはグループメンバーシップを通じて割り当てられていることを確認します。 同じユーザーに複数のロールが割り当てられている場合は、より多くの権限を持つロールが、より少ない権限を持つロールをオーバーライドします。 たとえば、ゲスト コラボレーター ロールを直接割り当てたユーザーが、エンタープライズ所有者のロールを割り当てられているグループのメンバーでもある場合、ユーザーにはエンタープライズ所有者の完全な権限が与えられます。

SAML 認証に Azure AD または Okta を使用する場合は、ゲスト コラボレーターを使用するように IdP アプリケーションを更新することが必要な場合があります。 詳しくは、「エンタープライズ マネージド ユーザーの SAML シングル サインオンの構成」を参照してください。