Sincronizar uma equipe com um grupo de provedor de identidade

Você pode sincronizar uma equipe do GitHub com um grupo de IdPs (provedores de identidade) com suporte para adicionar e remover automaticamente os membros da equipe.

Quem pode usar esse recurso?

Organization owners can synchronize a GitHub team with an IdP group.

Neste artigo

Note

Se sua empresa usar o Enterprise Managed Users, você não precisará usar a sincronização de equipe. Em vez disso, você pode gerenciar a associação à equipe por meio da configuração do SCIM criada ao configurar sua empresa. Para saber mais, confira Gerenciando associações de equipes com grupos de provedores de identidade.

Sobre a sincronização de equipes

Se a sincronização de equipe estiver habilitada para sua organização ou conta empresarial, você poderá sincronizar uma equipe do GitHub com um grupo do IdP. Quando você faz isso, as alterações de associação ao grupo do IdP são refletidas no GitHub automaticamente, reduzindo a necessidade de atualizações manuais e scripts personalizados. Para saber mais, confira Gerenciando a sincronização da equipe para a sua organização e Gerenciando a sincronização de equipes para organizações da sua empresa.

Você pode conectar até cinco grupos de IdP a uma equipe do GitHub.Você pode atribuir um grupo de IdP a várias equipes do GitHub.

A sincronização de equipes não é compatível com grupos de IdP com mais de 5000 integrantes.

Uma vez que uma equipe do GitHub está conectada a um grupo de IdP, o administrador do IdP deve efetuar as alterações da associação da equipe por meio do provedor de identidade. Você não pode gerenciar a associação da equipe no GitHub ou usando a API.

Se sua organização pertencer a uma conta corporativa, habilitar a sincronização de equipes para a conta corporativa irá substituir as configurações de sincronização de equipe no nível da organização. Para saber mais, confira Gerenciando a sincronização de equipes para organizações da sua empresa.

A sincronização de equipe não é um serviço de provisionamento de usuários e não convida não membros a ingressar em organizações na maioria dos casos. Isso significa que um usuário só será adicionado com sucesso a uma equipe se já for um membro da organização. No entanto, opcionalmente, você pode permitir a sincronização da equipe para convidar novamente os usuários que anteriormente eram membros da organização e foram removidos desde então. Para obter mais informações, confira Gerenciando a sincronização da equipe para a sua organização e Gerenciando a sincronização de equipes para organizações da sua empresa.

Todas as alterações de associação a uma equipe feitas por meio do IdP serão exibidas no log de auditoria do GitHub como alterações feitas pelo bot de sincronização da equipe. A sincronização de equipe buscará informações de grupo de seu IdP pelo menos uma vez a cada hora e refletirá as alterações na associação de grupo de IdP no GitHub. A conexão de uma equipe a um grupo de IdP pode remover alguns integrantes da equipe. Para obter mais informações, confira Requisitos para membros de equipes sincronizadas.

As equipes principais não podem sincronizar com grupos de IdP. Se a equipe que você deseja conectar a um grupo IdP for uma equipe principal, recomendamos criar uma equipe nova ou remover as relações aninhadas que fazem da sua equipe uma equipe principal. Para saber mais, confira Sobre equipes, Criar equipes e Mover uma equipe na hierarquia da organização.

Para gerenciar o acesso ao repositório de qualquer equipe do GitHub incluindo equipes conectadas a um grupo de IdP, você deve fazer alterações com o GitHub. Para saber mais, confira Sobre equipes e Gerenciar o acesso da equipe em um repositório da organização.

Você também pode gerenciar a sincronização de equipes com a API. Para saber mais, confira Pontos de extremidade de API REST para sincronização de equipe.

Requisitos para integrantes de equipes sincronizadas

Depois que você conectar uma equipe a um grupo de IdPs, a sincronização da equipe adicionará cada membro do grupo de IdPs à equipe correspondente no GitHub somente se:

  • A sincronização da equipe não tiver permissão para convidar não membros para sua organização, a pessoa já é membro da organização no GitHub.
  • A pessoa já tiver feito logon com a conta pessoal no GitHub e já tiver se autenticado na organização ou na conta corporativa por meio do logon único do SAML, pelo menos uma vez.
  • A identidade SSO da pessoa é um integrante do grupo IdP.

As equipes ou os membros de grupos existentes que não atenderem a esses critérios serão removidos automaticamente da equipe no GitHub e perderão o acesso aos repositórios. Revogar a identidade vinculada a um usuário também removerá o usuário de quaisquer equipes mapeadas com os grupos de IdP. Para saber mais, confira Exibir e gerenciar o acesso SAML de um membro à organização e Visualizar e gerenciar o acesso SAML de um usuário à sua empresa.

Um integrante removido da equipe pode ser adicionado de volta a uma equipe automaticamente após efetuar a autenticação na conta da organização ou na conta corporativa usando SSO e será movidos para o grupo de IdP conectado.

Para evitar a remoção involuntária dos integrantes da equipe, recomendamos a aplicar SSO SAML na conta da organização ou da empresa. criar novas equipes para sincronizar dados da associação e verificar a associação de grupo de IdP antes de sincronizar as equipes existentes. Para saber mais, confira Aplicar logon único de SAML para sua organização e Configurar o logon único SAML para sua empresa.

Pré-requisitos

Para conectar uma equipe do GitHub a um grupo do IdP, a equipe já precisa existir na sua organização. Mesmo que você tenha configurado o provisionamento do SCIM, a criação de um grupo no IdP não cria automaticamente uma equipe no GitHub.

Para você conectar uma equipe do GitHub a um grupo do IdP, o proprietário de uma organização ou de uma empresa precisará habilitar a sincronização da equipe na sua organização ou conta corporativa. Para saber mais, confira Gerenciando a sincronização da equipe para a sua organização e Gerenciando a sincronização de equipes para organizações da sua empresa.

Para evitar a remoção involuntária dos integrantes da equipe, visite o portal administrativo do seu IdP e confirme se cada integrante atual da equipe está também nos grupos de IdP aos quais você deseja conectar a esta equipe. Se você não tiver acesso ao provedor de identidade, entre em contato com o administrador do IdP.

Você deve efetuar a autenticação usando SAML SSO. Para saber mais, confira Sobre a autenticação com logon único SAML.

Conectar um grupo de IdP a uma equipe

Ao conectar um grupo de IdP a uma equipe do GitHub, todos os usuários do grupo serão automaticamente adicionados à equipe.

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.

  2. Clique no nome da sua organização.

  3. Abaixo do nome da sua organização, clique em Equipes.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia rotulada com um ícone de pessoas e "Equipes" tem um contorno laranja escuro.

  4. Clique no nome da equipe.

  5. Na parte superior da página da equipe, clique em Configurações.

    Captura de tela do cabeçalho da página de uma equipe. Uma guia rotulada com um ícone de engrenagem e "Configurações" tem o contorno em laranja escuro.

  6. Em "Grupos de provedores de identidade", use o menu suspenso Selecionar grupos e clique em até cinco grupos de provedores de identidade.

  7. Clique em Salvar alterações.

Desconectar um grupo de IdP de uma equipe

  1. No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.

  2. Clique no nome da sua organização.

  3. Abaixo do nome da sua organização, clique em Equipes.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia rotulada com um ícone de pessoas e "Equipes" tem um contorno laranja escuro.

  4. Clique no nome da equipe.

  5. Na parte superior da página da equipe, clique em Configurações.

    Captura de tela do cabeçalho da página de uma equipe. Uma guia rotulada com um ícone de engrenagem e "Configurações" tem o contorno em laranja escuro.

  6. Em "Grupos de provedores de identidade", à direita do grupo de IdPs que você deseja desconectar, clique em .

  7. Clique em Salvar alterações.