メモ: Oktaを利用するTeam の同期は現在ベータであり、変更されることがあります。 ベータへの登録については、GitHubセールス顧客担当にお問い合わせください。
Team の同期について
IdP と GitHub の間で Team の同期を有効化すると、Organization のオーナーとチームメンテナが Organization の Team を IdP グループに接続できるようになります。
GitHub TeamをIdPグループと同期すると、IdPグループへの変更はGitHubに自動的に反映され、手動での更新やカスタムスクリプトの必要を減らせます。 IdPをTeam同期と共に使い、新しいメンバーのオンボーディング、Organization内での移動に応じた新しい権限の付与、Organizationからのメンバーアクセスの削除といった管理タスクを扱うことができます。
Team同期は、サポートされているIdPで使えます。
- Azure AD
- Okta
Team同期を有効化すると、チームメンテナとOrganizationのオーナーは、GitHub上で、あるいはAPIを通じてTeamをIdPグループに接続できます。 詳しい情報については「アイデンティティプロバイダグループとTeamの同期」及び「Teamの同期」を参照してください。
Enterprise アカウントが所有する Organization に対して Team の同期を有効化することもできます。 詳細は、「Enterprise アカウントでセキュリティ設定を強制する」を参照してください。
Team の同期を有効化する
Team の同期を有効化する手順は、使用する IdP によって異なります。 各 IdP によって、Team の同期を有効化するうえで必要な環境があります。 個々の IdP ごとに、さらに必要な環境があります。
必要な環境
任意のIdPとのTeam同期を有効化するには、Idpインテグレーション及びグループを設定するために、IdPへの管理アクセスを取得するか、IdPの管理者と作業をしなければなりません。 IdPインテグレーション及びグループを設定する人は、必要な権限のいずれかを持っていなければなりません。
IdP | 必要な権限 |
---|---|
Azure AD |
|
Okta |
|
Organization と、サポートされている IdP について、SAMLシングルサインオンを有効にする必要があります。 詳細は「Organization で SAML シングルサインオンを施行する」を参照してください。
SAML SSO とサポートされる IdP を使用してOrganization に認証される必要があります。 詳しい情報については「SAMLシングルサインオンで認証する」を参照してください。
Azure AD で Team の同期を有効化する
Azure ADでTeam同期を有効化するには、Azure AD環境に以下の権限が必要です。
- すべてのユーザに対するフルプロフィールの読み取り
- サインインおよびユーザプロフィールの読み取り
- ディレクトリデータの読み取り
-
GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
-
プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
-
Organization名の下で、Settings(設定)をクリックしてください。
-
左のサイドバーでOrganization security(Organizationのセキュリティ)をクリックしてください。
-
SAML SSO が有効であることを確認します。 詳細は「Organization で SAML シングルサインオンを管理する」を参照してください。
-
"Team synchronization(Teamの同期)"の下で、Enable for Azure AD(Azure ADでの有効化)をクリックしてください。
-
Teamの同期を確認してください。
- IdP にアクセスできる場合は、[Enable team synchronization] をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
- IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。
-
Organization に接続したいアイデンティティプロバイダのテナント情報を確認してから、[Approve] をクリックします。
Okta で Team の同期を有効化する
OktaのTeam同期を有効化するには、あなたもしくはIdPの管理者は以下を実行しなければなりません。
- Oktaを利用するOrganizationでSAML SSOとSCIMを有効化する。 詳しい情報については「Oktaを使用したSAMLシングルサインオンとSCIMの設定」を参照してください。
- OktaインスタンスのテナントURLを提供してください。
- Okta環境にサービスユーザとして読み取りのみの管理権限を持つ、有効なSSWSトークンを生成してください。 詳しい情報についてはOktaのドキュメンテーションのトークンの生成及びサービスユーザを参照してください。
-
GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
-
プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
-
Organization名の下で、Settings(設定)をクリックしてください。
-
左のサイドバーでOrganization security(Organizationのセキュリティ)をクリックしてください。
-
SAML SSO が有効であることを確認します。 詳細は「Organization で SAML シングルサインオンを管理する」を参照してください。
-
"Team synchronization(Teamの同期)"の下で、Enable for Okta(Oktaでの有効化)をクリックしてください。
-
Organization 名の下で、有効な SSWS トークンと Okta インスタンスの URL を入力します。
-
Organization に接続したいアイデンティティプロバイダのテナント情報を確認してから、[Create] をクリックします。
Team の同期を無効化する
警告: Team同期を無効化すると、IdPグループを通じてGitHubのTeamに割り当てられたメンバーはTeamから削除され、リポジトリへのアクセスを失うことがあります。
-
GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
-
プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
-
Organization名の下で、Settings(設定)をクリックしてください。
-
左のサイドバーでOrganization security(Organizationのセキュリティ)をクリックしてください。
-
[Team synchronization] の下にある [Disable team synchronization] をクリックします。