Gerenciando a sincronização da equipe para a sua organização

Você pode habilitar e desabilitar a sincronização de equipes entre o seu IdP (provedor de identidade) e a sua organização no GitHub.

Quem pode usar esse recurso?

Organization owners can manage team synchronization for an organization.

Neste artigo

Note

Se sua empresa usar o Enterprise Managed Users, você não precisará usar a sincronização de equipe. Em vez disso, você pode gerenciar a associação à equipe por meio da configuração do SCIM criada ao configurar sua empresa. Para saber mais, confira Gerenciando associações de equipes com grupos de provedores de identidade.

Sobre a sincronização de equipes

É possível habilitar a sincronização de equipes entre seu IdP e o GitHub para permitir que os proprietários da organização e mantenedores da equipe conectem equipes na sua organização com grupos de IdP.

Se a sincronização de equipe estiver habilitada para sua organização ou conta empresarial, você poderá sincronizar uma equipe do GitHub com um grupo do IdP. Quando você faz isso, as alterações de associação ao grupo do IdP são refletidas no GitHub automaticamente, reduzindo a necessidade de atualizações manuais e scripts personalizados.

Para conectar uma equipe do GitHub a um grupo do IdP, a equipe já precisa existir na sua organização. Mesmo que você tenha configurado o provisionamento do SCIM, a criação de um grupo no IdP não cria automaticamente uma equipe no GitHub.

Note

Para usar o logon único SAML, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira Como configurar uma avaliação do GitHub Enterprise Cloud.

Você pode usar a sincronização de equipe com IdPs suportados.

  • Locatários comerciais do Entra ID (não há suporte para a nuvem governamental)
  • Okta

A sincronização de equipe não é um serviço de provisionamento de usuários e não convida não membros a ingressar em organizações na maioria dos casos. Isso significa que um usuário só será adicionado com sucesso a uma equipe se já for um membro da organização. No entanto, opcionalmente, você pode permitir a sincronização da equipe para convidar novamente os usuários que anteriormente eram membros da organização e foram removidos desde então.

Depois que você ativar a sincronização de equipe, os mantenedores de equipe e os proprietários da organização poderão conectar uma equipe a um grupo de IdP no GitHub ou através da API. Para saber mais, confira Sincronizar uma equipe com um grupo de provedor de identidade e Pontos de extremidade de API REST para equipes.

Também é possível habilitar a sincronização de equipes para organizações que pertencem a uma conta corporativa. Se o SAML estiver configurado no nível empresarial, você não poderá habilitar a sincronização de equipe em uma organização individual. Nesse caso, você deverá configurar a sincronização de equipe na empresa toda. Para saber mais, confira Gerenciando a sincronização de equipes para organizações da sua empresa.

Se sua organização pertencer a uma conta corporativa, habilitar a sincronização de equipes para a conta corporativa irá substituir as configurações de sincronização de equipe no nível da organização. Para saber mais, confira Gerenciando a sincronização de equipes para organizações da sua empresa.

Limites de uso

Há limites de uso para o recurso de sincronização da equipe. Se você exceder esses limites, isso resultará em uma degradação no desempenho e poderá causar falhas de sincronização.

  • Número máximo de membros em uma equipe do GitHub: 5.000
  • Número máximo de membros em uma organização do GitHub: 10.000
  • Número máximo de equipes em uma organização do GitHub: 1.500

Habilitar a sincronização de equipes

As etapas para habilitar a sincronização da equipe dependem do IdP que você deseja usar. Existem pré-requisitos para habilitar a sincronização de equipes que se aplicam a cada IdP. Cada IdP individual tem pré-requisitos adicionais.

Pré-requisitos

Para ativar a sincronização de equipe com qualquer IdP, você deve obter acesso administrativo ao seu IdP ou trabalhar com o administrador do seu IdP para configurar a integração e grupos de IdP. A pessoa que configura a sua integração com IdP e os grupos devem possuir uma das permissões necessárias.

IdPPermissões necessárias
Entra ID
  • Administrador global
  • Administrador de Função com Privilégios
Okta
  • Usuário de serviço com permissões de administrador somente leitura

Você deve habilitar o logon único SAML para sua organização e seu IdP compatível. Para saber mais, confira Aplicar logon único de SAML para sua organização.

Você deve ter uma identidade SAML vinculada. Para criar uma identidade vinculada, você deve efetuar a autenticação na sua organização usando o SAML SSO e o IdP compatível pelo menos uma vez. Para saber mais, confira Sobre a autenticação com logon único SAML.

Note

Para que a sincronização de equipe funcione, as configurações do SAML devem conter uma URL IdP válida para o campo "Issuer". Para obter mais informações, confira Como habilitar e testar o logon único do SAML para sua organização.

Habilitar a sincronização de equipe para o Entra ID

Para habilitar a sincronização de equipes para o Entra ID, a instalação do Entra ID precisa das permissões a seguir.

  • Ler todas as associações de grupo: o GitHub obtém uma lista de grupos do Entra para que os usuários possam selecionar um para sincronizar com uma equipe específica do GitHub.
  • Ler os perfis completos de todos os usuários: o GitHub obtém uma lista de IDs do Entra ID e nomes completos/de exibição do Entra dos membros para sincronizar um grupo do Entra e uma equipe do GitHub.
  • Entrar e ler o perfil do usuário: quando o SSO do SAML está ativado, os usuários devem fazer logon único no aplicativo Entra como pré-requisito para a sincronização da equipe.
  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
  4. Confirme se SSO do SAML está habilitado para sua empresa.
  5. Em "Sincronização da equipe", clique em Habilitar para Entra ID.
  6. Confirmar a sincronização da equipe.
    • Se você tiver acesso ao IdP, clique em Habilitar sincronização de equipes. Você será redirecionado para a página do SAML SSO do provedor de identidade e precisará selecionar sua conta e revisar as permissões solicitadas.
    • Se você não tiver acesso ao IdP, copie o link de redirecionamento do IdP e compartilhe-o com o administrador do IdP para continuar habilitando a sincronização de equipes.
  7. Revise as informações de locatário do provedor de identidade que você deseja conectar à sua organização e clique em Aprovar.

Habilitar a sincronização de equipe para o Okta

A sincronização da equipe do Okta exige que o SAML e o SCIM com Okta já tenham sido configurados para sua organização.

Para evitar possíveis erros de sincronização de equipes com o Okta, recomendamos que você confirme se as identidades vinculadas ao SCIM estão configuradas corretamente para todos os integrantes da organização que forem integrantes dos seus grupos escolhidos do Okta antes de habilitar a sincronização de equipes em GitHub.

Se um integrante da organização não tiver uma identidade SCIM vinculada, a sincronização de equipes não funcionará conforme esperado e o usuário não poderá ser adicionado ou removido das equipes como esperado. Se algum desses usuários não tiver uma identidade associada ao SCIM, você deverá provisioná-la novamente.

Para obter ajuda com o provisionamento de usuários que têm uma identidade vinculada do SCIM ausente, confira Solução de problemas de gerenciamento de identidade e acesso da organização.

Antes de habilitar a sincronização da equipe para o Okta, você ou o administrador do IdP precisa:

  • Configurar a integração do SAML, do SSO e do SCIM para sua organização usando o Okta. Para saber mais, confira Configurar SCIM e o logon único SAML usando o Okta.
  • Fornecer a URL do locatário da instância do Okta.
  • Gerar um token SSWS válido com permissões de administrador somente leitura para a instalação do Okta como usuário de serviço. Para obter mais informações, confira Criar o token e Atender aos usuários na documentação do Okta.
  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
  4. Confirme se SSO do SAML está habilitado para sua empresa.
  5. Recomendamos que você confirme se os usuários têm o SAML habilitado e têm uma identidade do SCIM vinculada para evitar possíveis erros de provisionamento. Para saber mais, confira Solução de problemas de gerenciamento de identidade e acesso da organização.
  6. Considere aplicar o SAML na sua organização para garantir que os integrantes da organização vinculem suas identidades ao SAML e ao SCIM. Para saber mais, confira Aplicar logon único de SAML para sua organização.
  7. Em "Sincronização da equipe", clique em Habilitar para Okta.
  8. No nome da sua organização, no campo "Token SSWS", digite um token SSWS válido.
  9. No campo "URL", digite a URL da instância do Okta.
  10. Revise as informações de locatário do provedor de identidade que você deseja conectar à sua organização e clique em Criar.

Gerenciar se a sincronização de equipe pode voltar a convidar não membros para sua organização

As alterações nessa configuração não afetam os convites pendentes. Qualquer convite gerado enquanto a sincronização de equipe tinha autorização para convidar novamente ex-integrantes da organização pode resultar na readição do membro à organização, mesmo que a autorização do novo convite tenha sido suspensa desde então.

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
  4. Em "Sincronização de equipe", marque ou desmarque Não permitir que a Sincronização de Equipe convide novamente membros anteriores para organizações que foram removidas pelo proprietário de uma organização.

Desabilitar a sincronização de equipes

Warning

Quando você desabilita a sincronização da equipe, os membros da equipe que foram atribuídos a uma equipe do GitHub por meio do grupo do IdP não são removidos da equipe e mantêm o acesso aos repositórios.

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
  2. Ao lado da organização, clique em Configurações.
  3. Na seção "Segurança" da barra lateral, clique em Segurança de autenticação.
  4. Em "Sincronização da equipe", clique em Desabilitar sincronização da equipe.