Skip to main content

Organization の Team 同期を管理する

GitHub Enterprise Cloud 上のアイデンティティプロバイダ (IdP) と Organization の間で Team の同期の有効/無効を切り替えることができます。

Organization owners can manage team synchronization for an organization.

Note: If your enterprise uses Enterprise Managed Users, you cannot use team synchronization and must instead configure SCIM to manage membership with your identity provider. For more information, see "Configuring SCIM provisioning for Enterprise Managed Users."

Team の同期について

IdP と GitHub Enterprise Cloud の間で Team の同期を有効化すると、Organization のオーナーとチームメンテナが Organization の Team を IdP グループに接続できるようになります。

GitHub TeamをIdPグループと同期すると、IdPグループへの変更はGitHub Enterprise Cloudに自動的に反映され、手動での更新やカスタムスクリプトの必要を減らせます。 IdPをTeam同期と共に使い、新しいメンバーのオンボーディング、Organization内での移動に応じた新しい権限の付与、Organizationからのメンバーアクセスの削除といった管理タスクを扱うことができます。

Note: To use SAML single sign-on, your organization must use GitHub Enterprise Cloud. For more information about how you can try GitHub Enterprise Cloud for free, see "Setting up a trial of GitHub Enterprise Cloud."

Team同期は、サポートされているIdPで使えます。

  • Azure AD
  • Okta

Team同期を有効化すると、チームメンテナとOrganizationのオーナーは、GitHub上で、あるいはAPIを通じてTeamをIdPグループに接続できます。 詳しい情報については「アイデンティティプロバイダグループとTeamの同期」及び「Teamの同期」を参照してください。

Enterprise アカウントが所有する Organization に対して Team の同期を有効化することもできます。 詳しい情報については「Enterprise内のOrganizationでのTeam同期の管理」を参照してください。

If your organization is owned by an enterprise account, enabling team synchronization or SCIM provisioning for the enterprise account will override your organization-level team synchronization settings. For more information, see "Managing team synchronization for organizations in your enterprise account" and "Configuring SCIM provisioning for Enterprise Managed Users."

使用制限

There are usage limits for the team synchonization feature. Exceeding these limits will lead to a degredation in performance and may cause synchronization failures.

  • Maximum number of members in a GitHub team: 5,000
  • Maximum number of members in a GitHub organization: 10,000
  • Maximum number of teams in a GitHub organization: 1,500

Team の同期を有効化する

Team の同期を有効化する手順は、使用する IdP によって異なります。 各 IdP によって、Team の同期を有効化するうえで必要な環境があります。 個々の IdP ごとに、さらに必要な環境があります。

必要な環境

任意のIdPとのTeam同期を有効化するには、Idpインテグレーション及びグループを設定するために、IdPへの管理アクセスを取得するか、IdPの管理者と作業をしなければなりません。 IdPインテグレーション及びグループを設定する人は、必要な権限のいずれかを持っていなければなりません。

IdP必要な権限
Azure AD
  • グローバル管理者
  • 特権ロール管理者
Okta
  • 読み取りのみの管理権限を持つサービスユーザ

Organization と、サポートされている IdP について、SAMLシングルサインオンを有効にする必要があります。 詳細は「Organization で SAML シングルサインオンを施行する」を参照してください。

リンクされたSAMLアイデンティティを持っていなければなりません。 リンクされたアイデンティティを作成するには、最低一回はSAML SSOとサポートされたIdPを使ってOrganizationに認証を受けていなければなりません。 詳しい情報については「SAMLシングルサインオンで認証する」を参照してください。

SAMLの設定は、Issuerフィールドに有効なIdP URLを含んでいなければなりません

SAML Issuerフィールド

Azure AD で Team の同期を有効化する

Azure ADでTeam同期を有効化するには、Azure AD環境に以下の権限が必要です。

  • すべてのユーザに対するフルプロフィールの読み取り
  • サインインおよびユーザプロフィールの読み取り
  • ディレクトリデータの読み取り
  1. In the top right corner of GitHub.com, click your profile photo, then click Your organizations. プロフィールメニューのあなたのOrganization

  2. Organizationの隣のSettings(設定)をクリックしてください。 設定ボタン

  3. In the "Security" section of the sidebar, click Authentication security.

  4. Confirm that SAML SSO is enabled for your organization. 詳細は「Organization で SAML シングルサインオンを管理する」を参照してください。

  5. "Team synchronization(Teamの同期)"の下で、Enable for Azure AD(Azure ADでの有効化)をクリックしてください。 セキュリティ設定ページの [Enable team synchronization] ボタン

  6. Teamの同期を確認してください。

    • IdP にアクセスできる場合は、[Enable team synchronization] をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
    • IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。 [Enable team synchronization redirect] ボタン
  7. Organization に接続したいアイデンティティプロバイダのテナント情報を確認してから、[Approve] をクリックします。 特定の IdP テナントに対して、Team の同期を有効化するペンディングリクエストと、リクエストを承認またはキャンセルするオプション

Okta で Team の同期を有効化する

OktaのTeam同期には、事前にOrganizationでOktaでのSAMLとSCIMがセットアップされていることが必要です。

OktaでのTeam同期のエラーの可能性を回避するために、GitHubでTeam同期を有効化する前に、選択したOktaのグループのメンバーになっているすべてのOrganizationメンバーに対して、SCIMのリンクされたアイデンティティが正しくセットアップされているのを確認することをおすすめします。

OrganizationのメンバーがリンクされたSCIMアイデンティティを持たない場合、Teamの同期は期待された動作をせず、そのユーザはTeamに追加も削除もされないかもしれません。 もしもユーザの中にSCIMのリンクされたアイデンティティを持たない者がいた場合、それらのユーザはプロビジョニングし直さなければなりません。

SCIMのリンクされたアイデンティティを書いているユーザのプロビジョニングに関するヘルプについては「アイデンティティ及びアクセス管理のトラブルシューティング」を参照してください。

Before you enable team synchronization for Okta, you or your IdP administrator must:

  • Configure the SAML, SSO, and SCIM integration for your organization using Okta. 詳しい情報については「Oktaを使用したSAMLシングルサインオンとSCIMの設定」を参照してください。
  • OktaインスタンスのテナントURLを提供してください。
  • Okta環境にサービスユーザとして読み取りのみの管理権限を持つ、有効なSSWSトークンを生成してください。 詳しい情報についてはOktaのドキュメンテーションのトークンの生成及びサービスユーザを参照してください。
  1. In the top right corner of GitHub.com, click your profile photo, then click Your organizations. プロフィールメニューのあなたのOrganization

  2. Organizationの隣のSettings(設定)をクリックしてください。 設定ボタン

  3. In the "Security" section of the sidebar, click Authentication security.

  4. Confirm that SAML SSO is enabled for your organization. 詳細は「Organization で SAML シングルサインオンを管理する」を参照してください。

  5. We recommend you confirm that your users have SAML enabled and have a linked SCIM identity to avoid potential provisioning errors. For help auditing your users, see "Auditing users for missing SCIM metadata." For help resolving unlinked SCIM identities, see "Troubleshooting identity and access management."

  6. OrganizationでSAMLを施行し、OrganizationのメンバーがSAMLとSCIMのアイデンティティを確実にリンクするようにすることを検討してください。 詳細は「Organization で SAML シングルサインオンを施行する」を参照してください。

  7. "Team synchronization(Teamの同期)"の下で、Enable for Okta(Oktaでの有効化)をクリックしてください。 セキュリティ設定ページのOktaのためのTeam同期の有効化ボタン

  8. Organization 名の下で、有効な SSWS トークンと Okta インスタンスの URL を入力します。 Okta Organization で Team の同期を有効化するフォーム

  9. Organization に接続したいアイデンティティプロバイダのテナント情報を確認してから、[Create] をクリックします。 Team の同期を有効化する [Create] ボタン

Team の同期を無効化する

警告: Team同期を無効化すると、IdPグループを通じてGitHubのTeamに割り当てられたメンバーはTeamから削除され、リポジトリへのアクセスを失うことがあります。

  1. In the top right corner of GitHub.com, click your profile photo, then click Your organizations. プロフィールメニューのあなたのOrganization

  2. Organizationの隣のSettings(設定)をクリックしてください。 設定ボタン

  3. In the "Security" section of the sidebar, click Authentication security.

  4. [Team synchronization] の下にある [Disable team synchronization] をクリックします。 Team の同期を無効化する