Team をアイデンティティプロバイダグループと同期する

Team の同期について

Organization または Enterprise アカウントで Team の同期が有効になっている場合は、GitHub Team を IdP グループと同期できます。 GitHub Team を IdP グループと同期すると、IdP グループへの変更が GitHub Enterprise Cloud に自動的に反映され、必要な手動更新やカスタム スクリプトを減らすことができます。 詳しくは、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」をご覧ください。

最大で5つのIdPグループをGitHub Enterprise Cloud Teamに接続できます。 IdP グループを複数の GitHub Enterprise Cloud Team に割り当てることができます。

Team同期は5000以上のメンバーを持つIdPグループをサポートしません。

いったん GitHub Team が IdP グループに接続されたら、IdP 管理者はアイデンティティプロバイダを通して Team メンバーシップを変更する必要があります。 GitHub Enterprise Cloud上では、あるいはAPIを使ってTeamメンバーシップを管理することはできません。

Organization が Enterprise アカウントによって所有されている場合、その Enterprise アカウントで Team の同期を有効にすると、Organization レベルでの Team の同期の設定はオーバーライドされます。 詳しくは、「Enterprise で Organization の Team 同期を管理する」を参照してください。

既定では、チームの同期ではメンバー以外を組織に招待しないため、ユーザーが既に組織のメンバーである場合にのみ、チームへの追加が完了します。 必要に応じて、メンバー以外を招待して組織に参加させることをチームの同期で許可することができます。詳細については、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」を参照してください。

IdP を通じたチーム メンバーシップ変更はすべて、チーム同期ボットによる変更として GitHub Enterprise Cloud の監査ログに記載されます。 Team の同期では、少なくとも 1 時間に 1 回 IdP からグループ情報がフェッチされ、IdP グループ メンバーシップの変更が GitHub Enterprise Cloud に反映されます。 Team を IdP グループに接続すると、Team メンバーが削除される場合があります。 詳細については、「同期されるチームのメンバーに関する要件」を参照してください。

親チームは IdP グループと同期できません。 IdP グループに接続したい Team が親チームの場合、新しい Team を作るか、Team と親チームのネスト関係を削除することをお勧めします。 詳しくは、「Team について」、「Team の作成」、「Organization 階層内で Team を移動する」をご覧ください。

IdP グループに接続された Team を含めて GitHub Team のリポジトリに対するアクセスを管理するには、GitHub Enterprise Cloud で変更を行う必要があります。 詳細については、「Team について」および「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。

Team同期をAPIで管理することもできます。 詳細については、「Teams」を参照してください。

同期される Team のメンバーに関する要件

チームを IdP グループに接続した後、Team 同期により、次の場合にのみ IdP グループの各メンバーが GitHub Enterprise Cloud 上の対応するチームに追加されます。

• チームの同期でメンバー以外を組織に招待できない場合、その個人は GitHub Enterprise Cloud 上で既に組織のメンバーです。
• そのユーザーが既に GitHub Enterprise Cloud の個人アカウントでログインしており、少なくとも 1 回は SAML シングル サインオンを介して組織またはエンタープライズ アカウントに認証されている場合。
• そのユーザの SSO ID が IdP グループのメンバーである場合。

これらの条件を満たしていない既存の Team またはグループメンバーは、GitHub Enterprise Cloud の Team から自動的に削除され、リポジトリにアクセスできなくなります。 ユーザのリンクされた ID を取り消すと、IdP グループにマップされている Team からユーザが削除されます。 詳細については、「組織に対するメンバーの SAML アクセスの表示と管理」および「Enterprise へのユーザの SAML アクセスの表示および管理」を参照してください。

削除された Team メンバーは、SSO を使って Organization または Enterprise アカウントに認証され、接続先の IdP グループに移動すれば、再び Team に自動的に追加できます。

意図しない Team メンバーの削除を避けるために、Organization または Enterprise アカウントで SAML SSO を施行し、メンバーシップデータを同期するため新しい Team を作成し、IdP グループのメンバーシップを確認してから既存の Team を同期することをおすすめします。 詳細については、「Organization で SAML シングルサインオンを施行する」および「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。

前提条件

GitHub Enterprise Cloud チームを ID プロバイダー グループに接続する前に、組織またはエンタープライズの所有者は、組織またはエンタープライズ アカウントのチーム同期を有効にする必要があります。 詳細については、「Organization の Team 同期を管理する」および「Enterprise で Organization の Team 同期を管理する」を参照してください。

Team メンバーを誤って削除しないように、お使いの IdP の管理ポータルにアクセスし、現在の各 Team メンバーが、接続しようとしている IdP グループにも属していることを確認してください。 アイデンティティプロバイダにこうしたアクセスができない場合は、IdP 管理者にお問い合わせください。

SAML SSO を使って認証する必要があります。 詳しくは、「SAMLシングルサインオンで認証する」を参照してください。

IdP グループをTeam に接続する

IdP グループを GitHub Enterprise Cloud Team に接続すると、グループ内のすべてのユーザが自動的に Team に追加されます。

1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。

   1. Organizationの名前をクリックしてください。 1. Organization 名の下で、 [Teams] をクリックします。

   

2. チームの名前をクリックします。 1. Team ページの上部にある [設定] をクリックします。

   

3. [ID プロバイダー グループ] で、 [グループを選択] ドロップダウン メニューを選び、ID プロバイダー グループを最大 5 つまでクリックします。

4. [変更を保存] をクリックします。

IdP グループをTeam から切断する

GitHub Team から IdP グループを切断すると、その IdP グループを介して GitHub Team に割り当てられている Team メンバーは Team から削除されます。

1. GitHub.com の右上隅にあるプロファイル写真をクリックし、 [自分の Organization] をクリックします。

   1. Organizationの名前をクリックしてください。 1. Organization 名の下で、 [Teams] をクリックします。

   

2. チームの名前をクリックします。 1. Team ページの上部にある [設定] をクリックします。

   

3. [Identity Provider Groups] で、切断する IdP グループの右にある をクリックします。

4. [変更を保存] をクリックします。