Team をアイデンティティプロバイダグループと同期する

Team の同期について

Organization または Enterprise アカウントでチームの同期が有効になっている場合は、GitHub チームを IdP グループと同期できます。 これを行うと、IdP グループに対するメンバーシップ変更が GitHub に自動的に反映され、手動更新とカスタム スクリプトの必要性が軽減されます。 詳細については、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」を参照してください。

最大 5 つの IdP グループを 1 つの GitHub チームに接続できます。IdP グループを複数の GitHub チームに割り当てることができます。

Team同期は5000以上のメンバーを持つIdPグループをサポートしません。

いったん GitHub Team が IdP グループに接続されたら、IdP 管理者はアイデンティティプロバイダを通して Team メンバーシップを変更する必要があります。 GitHub 上で、または API を使ってチーム メンバーシップを管理することはできません。

Organization が Enterprise アカウントによって所有されている場合、その Enterprise アカウントで Team の同期を有効にすると、Organization レベルでの Team の同期の設定はオーバーライドされます。 詳しくは、「Enterprise で Organization の Team 同期を管理する」をご覧ください。

チーム同期はユーザー プロビジョニング サービスではなく、ほとんどの場合、組織に参加するようメンバー以外を招待することはありません。 つまり、ユーザーをチームに追加できるのは、ユーザーが既に組織のメンバーである場合のみです。 ただし、チーム同期では必要に応じて、以前に組織のメンバーだったがそれ以降削除されているユーザーを再び招待することができます。詳細については、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」を参照してください。

IdP を通じて行われたすべてのチーム メンバーシップの変更は、チーム同期ボットによって行われた変更として GitHub の監査ログに表示されます。 チームの同期では、少なくとも 1 時間ごとに IdP からグループ情報がフェッチされ、IdP グループ メンバーシップの変更が GitHub に反映されます。 Team を IdP グループに接続すると、Team メンバーが削除される場合があります。 詳細については、「同期されるチームのメンバーに関する要件」を参照してください。

親チームは IdP グループと同期できません。 IdP グループに接続したい Team が親チームの場合、新しい Team を作るか、Team と親チームのネスト関係を削除することをお勧めします。 詳細については、「Team について」、「Team の作成」、「Organization 階層内で Team を移動する」を参照してください。

IdP グループに接続されたチームを含めて GitHub チームのリポジトリに対するアクセスを管理するには、GitHub を使って変更する必要があります。 詳細については、「Team について」および「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。

Team同期をAPIで管理することもできます。 詳細については、「チーム同期用の REST API エンドポイント」を参照してください。

同期される Team のメンバーに関する要件

チームを IdP グループに接続すると、次の場合にのみ、チーム同期によって IdP グループの各メンバーが GitHub 上の対応するチームに追加されます。

• チームの同期でメンバー以外を organization に招待できない場合、その個人は GitHub 上で既に organization のメンバーです。
• そのユーザーが既に GitHub の個人用アカウントでログインしており、少なくとも 1 回は SAML シングル サインオンを介して organization または Enterprise アカウントに認証されている場合。
• そのユーザの SSO ID が IdP グループのメンバーである場合。

これらの条件を満たしていない既存のチームまたはグループ メンバーは、GitHub のチームから自動的に削除され、リポジトリにアクセスできなくなります。 ユーザのリンクされた ID を取り消すと、IdP グループにマップされている Team からユーザが削除されます。 詳細については、「組織に対するメンバーの SAML アクセスの表示と管理」および「Enterprise へのユーザの SAML アクセスの表示および管理」を参照してください。

削除された Team メンバーは、SSO を使って Organization または Enterprise アカウントに認証され、接続先の IdP グループに移動すれば、再び Team に自動的に追加できます。

意図しない Team メンバーの削除を避けるために、Organization または Enterprise アカウントで SAML SSO を施行し、メンバーシップデータを同期するため新しい Team を作成し、IdP グループのメンバーシップを確認してから既存の Team を同期することをおすすめします。 詳細については、「Organization で SAML シングルサインオンを施行する」および「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。

前提条件

GitHub のチームを IdP グループに接続するには、チームが organization 内に既に存在している必要があります。 SCIM プロビジョニングを構成している場合でも、IdP でグループを作成することで、GitHub にチームが自動的に作成されることはありません。

GitHub チームを IdP グループに接続する前に、organization または Enterprise 所有者は、organization または Enterprise アカウントのチーム同期を有効にする必要があります。 詳細については、「Organization の Team 同期を管理する」および「Enterprise で Organization の Team 同期を管理する」を参照してください。

Team メンバーを誤って削除しないように、お使いの IdP の管理ポータルにアクセスし、現在の各 Team メンバーが、接続しようとしている IdP グループにも属していることを確認してください。 アイデンティティプロバイダにこうしたアクセスができない場合は、IdP 管理者にお問い合わせください。

SAML SSO を使って認証する必要があります。 詳しくは、「SAMLシングルサインオンで認証する」をご覧ください。

IdP グループをTeam に接続する

IdP グループを GitHub チームに接続すると、グループ内のすべてのユーザーが自動的にチームに追加されます。

1. GitHub の右上隅でプロフィール写真を選んでから、 [Your organizations] をクリックします。

2. Organizationの名前をクリックしてください。

3. Organization 名の下で、 [Teams] をクリックします。

   

4. チームの名前をクリックします。

5. Team ページの上部にある [設定] をクリックします。

   

6. [ID プロバイダー グループ] で、 [グループを選択] ドロップダウン メニューを選び、ID プロバイダー グループを最大 5 つまでクリックします。

7. [変更を保存] をクリックします。

IdP グループをTeam から切断する

1. GitHub の右上隅でプロフィール写真を選んでから、 [Your organizations] をクリックします。

2. Organizationの名前をクリックしてください。

3. Organization 名の下で、 [Teams] をクリックします。

   

4. チームの名前をクリックします。

5. Team ページの上部にある [設定] をクリックします。

   

6. [Identity Provider Groups] で、切断する IdP グループの右にある をクリックします。

7. [変更を保存] をクリックします。