Skip to main content

Organization の Team 同期を管理する

GitHub Enterprise Cloud 上のアイデンティティプロバイダ (IdP) と Organization の間で Team の同期の有効/無効を切り替えることができます。

Who can use this feature

Organization owners can manage team synchronization for an organization.

メモ: Enterprise で Enterprise Managed Users を使う場合は、Team 同期を使う必要はありません。 代わりに、Enterprise のセットアップ中に作成した SCIM 構成を使って、Team のメンバーシップを管理できます。 詳細については、「Managing team memberships with identity provider groups」 (ID プロバイダー グループを使用して Team のメンバーシップを管理する) を参照してください。

Team の同期について

IdP と GitHub Enterprise Cloud の間で Team の同期を有効化すると、Organization のオーナーとチームメンテナが Organization の Team を IdP グループに接続できるようになります。

Organization または Enterprise アカウントで Team の同期が有効になっている場合は、GitHub Team を IdP グループと同期できます。 GitHub Team を IdP グループと同期すると、IdP グループへの変更が GitHub Enterprise Cloud に自動的に反映され、必要な手動更新やカスタム スクリプトを減らすことができます。 詳しくは、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」をご覧ください。

注: SAML シングル サインオンを使うには、Organization で GitHub Enterprise Cloud を使用している必要があります。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。

Team同期は、サポートされているIdPで使えます。

  • Azure AD
  • Okta

Team同期を有効化すると、チームメンテナとOrganizationのオーナーは、GitHub上で、あるいはAPIを通じてTeamをIdPグループに接続できます。 詳細については、「Team をアイデンティティ プロバイダー グループと同期する」と「Team 同期」を参照してください。

Enterprise アカウントが所有する Organization に対して Team の同期を有効化することもできます。 詳細については、「企業で Organization の Team 同期を管理する」を参照してください。

Organization が Enterprise アカウントによって所有されている場合、その Enterprise アカウントで Team の同期を有効にすると、Organization レベルでの Team の同期の設定はオーバーライドされます。 詳細については、「Managing team synchronization for organizations in your enterprise account」 (Enterprise アカウント内の Organization の Team 同期を管理する) を参照してください。

Usage limits (使用状況の制限)

チームの同期機能には使用制限があります。 これらの制限を超えると、パフォーマンスが低下し、同期エラーが発生する可能性があります。

  • GitHub Team のメンバーの最大数: 5,000
  • GitHub Organization のメンバーの最大数: 10,000
  • GitHub Organization の Team の最大数: 1,500

Team の同期を有効化する

Team の同期を有効にする手順は、使用したい IdP によって異なります。 各 IdP によって、Team の同期を有効化するうえで必要な環境があります。 個々の IdP ごとに、さらに必要な環境があります。

前提条件

任意のIdPとのTeam同期を有効化するには、Idpインテグレーション及びグループを設定するために、IdPへの管理アクセスを取得するか、IdPの管理者と作業をしなければなりません。 IdPインテグレーション及びグループを設定する人は、必要な権限のいずれかを持っていなければなりません。

IdP必要なアクセス許可
Azure AD
  • 全体管理者
  • 特権ロール管理者
Okta
  • 読み取りのみの管理権限を持つサービスユーザ

Organization と、サポートされている IdP について、SAMLシングルサインオンを有効にする必要があります。 詳細については、「Organization に SAML シングル サインオンを適用する」を参照してください。

リンクされたSAMLアイデンティティを持っていなければなりません。 リンクされたアイデンティティを作成するには、最低一回はSAML SSOとサポートされたIdPを使ってOrganizationに認証を受けていなければなりません。 詳細については、「SAML シングル サインオンを使用した認証」を参照してください。

SAML 設定には、 [発行者] フィールドの有効な IdP URL が含まれている 必要があります

SAML Issuerフィールド

Azure AD で Team の同期を有効化する

Azure ADでTeam同期を有効化するには、Azure AD環境に以下の権限が必要です。

  • すべてのユーザーの完全なプロファイルの読み取り
  • サインインしてユーザー プロファイルを読み取る
  • ディレクトリ データの読み取り
  1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。 プロファイル メニューの組織 2. 組織の隣の [設定] をクリックします。 [設定] ボタン
  2. In the "Security" section of the sidebar, click Authentication security.
  3. 組織で SAML SSO が有効になっていることを確認します。 詳細については、「Organization で SAML シングル サインオンを管理する」を参照してください。 1. [Team 同期] で、 [Azure AD の有効化] をクリックします。 セキュリティ設定ページの Team 同期の有効化ボタン 5. Teamの同期を確認してください。
    • IdP にアクセスできる場合は、 [Enable team synchronization] (Team 同期を有効にする) をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
    • IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。 [Enable team synchronization](Team 同期を有効にする) リダイレクト ボタン
  4. Organization に接続したい ID プロバイダーのテナント情報を確認してから、 [承認] をクリックします。 特定の IdP テナントに対して、Team の同期を有効化する保留要求と、要求を承認またはキャンセルするオプション

Okta で Team の同期を有効化する

OktaのTeam同期には、事前にOrganizationでOktaでのSAMLとSCIMがセットアップされていることが必要です。

OktaでのTeam同期のエラーの可能性を回避するために、GitHubでTeam同期を有効化する前に、選択したOktaのグループのメンバーになっているすべてのOrganizationメンバーに対して、SCIMのリンクされたアイデンティティが正しくセットアップされているのを確認することをおすすめします。

OrganizationのメンバーがリンクされたSCIMアイデンティティを持たない場合、Teamの同期は期待された動作をせず、そのユーザはTeamに追加も削除もされないかもしれません。 もしもユーザの中にSCIMのリンクされたアイデンティティを持たない者がいた場合、それらのユーザはプロビジョニングし直さなければなりません。

SCIM にリンクされた ID が欠落しているユーザーのプロビジョニングに関するヘルプについては、「組織の ID とアクセス管理のトラブルシューティング」を参照してください。

Okta で Team 同期を有効にする前に、あなたもしくは IdP の管理者は以下を実行しなければなりません。

  1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。 プロファイル メニューの組織 2. 組織の隣の [設定] をクリックします。 [設定] ボタン
  2. In the "Security" section of the sidebar, click Authentication security.
  3. 組織で SAML SSO が有効になっていることを確認します。 詳細については、「Organization で SAML シングル サインオンを管理する」を参照してください。 1. 潜在的なプロビジョニング エラーを回避するために、ユーザーが SAML を有効にしていて、リンクされた SCIM ID を持っていることを確認することをお勧めします。 詳しくは、「組織の ID とアクセス管理のトラブルシューティング」を参照してください。
  4. OrganizationでSAMLを施行し、OrganizationのメンバーがSAMLとSCIMのアイデンティティを確実にリンクするようにすることを検討してください。 詳細については、「Organization に SAML シングル サインオンを適用する」を参照してください。
  5. [Team synchronization](Team 同期) で、 [Enable for Okta] (Okta での有効化) をクリックします。 セキュリティ設定ページの Okta でのチームの同期の有効化ボタン
  6. Organization 名の下で、有効な SSWS トークンと Okta インスタンスの URL を入力します。 Okta Organization で Team の同期を有効化するフォーム
  7. Organization に接続したい ID プロバイダーのテナント情報を確認してから、 [作成] をクリックします。 Team の同期を有効化する [作成] ボタン

Team の同期を無効化する

警告: Team の同期を無効化すると、IdP グループを通じて GitHub Team に割り当てられた Team メンバーは、すべてその Team から削除され、リポジトリへのアクセスを失う場合もあります。

  1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。 プロファイル メニューの組織 2. 組織の隣の [設定] をクリックします。 [設定] ボタン

  2. In the "Security" section of the sidebar, click Authentication security.

  3. [Team の同期] で、 [Team の同期を無効にする] をクリックします。 Team の同期を無効にする