С помощью Enterprise Managed Usersвы управляете жизненным циклом и проверкой подлинности пользователей на GitHub.com или GHE.com из внешней системы управления удостоверениями или поставщика удостоверений:
- Ваш idP подготавливает новые учетные записи пользователей для GitHub, с доступом к вашей организации.
- Пользователи должны пройти проверку подлинности в idP , чтобы получить доступ к ресурсам предприятия на GitHub.
- Вы управляете именами пользователей, данными профиля, членством в организации и доступом к репозиторию из поставщика удостоверений.
- Если ваше предприятие использует единый вход OIDC, GitHub проверяет доступ к вашей организации и его ресурсам с помощью политики условного доступа поставщика удостоверений (CAP). См . раздел AUTOTITLE.
- Управляемые учетные записи пользователей не может создавать общедоступное содержимое или совместно работать вне вашей организации. См . раздел AUTOTITLE.
Note
Enterprise Managed Users не является лучшим решением для каждого клиента. Чтобы определить, подходит ли оно для вашего предприятия, см . раздел AUTOTITLE.
Системы управления удостоверениями
GitHub сотрудничает с некоторыми разработчиками систем управления удостоверениями для обеспечения интеграции "проложенного пути" с Enterprise Managed Users. Чтобы упростить конфигурацию и обеспечить полную поддержку, используйте единый идентификатор партнера для проверки подлинности и подготовки.
Поставщики удостоверений партнеров
Поставщики удостоверений партнеров обеспечивают проверку подлинности с помощью SAML или OIDC и предоставляют подготовку с помощью системы для управления междоменной идентификацией (SCIM).
| Поставщика удостоверений партнера | SAML | OIDC | SCIM |
|---|---|---|---|
| Идентификатор записи | |||
| Okta | |||
| PingFederate |
При использовании единого поставщика удостоверений для проверки подлинности и подготовки GitHub обеспечивает поддержку приложения для поставщика удостоверений и интеграции поставщика удостоверений с GitHub.
Другие системы управления удостоверениями
Если для проверки подлинности и подготовки нельзя использовать единый партнер idP, можно использовать другую систему управления удостоверениями или комбинацию систем. Система должна:
- Соблюдайте правила интеграции GitHub.
- Предоставление проверки подлинности с помощью SAML, привязывание к спецификации SAML 2.0
- Предоставьте управление жизненным циклом пользователей с помощью SCIM, придерживаясь спецификации SCIM 2.0 и взаимодействуя с GitHubREST API (см . AUTOTITLE)
GitHub не поддерживает сочетание и сопоставление поставщиков удостоверений для проверки подлинности и подготовки и не проверяет все системы управления удостоверениями. может оказаться не в состоянии помочь вам с проблемами, связанными с смешанными или непроверенными системами. Если вам нужна помощь, необходимо обратиться к документации системы, группе поддержки или другим ресурсам.
Имена пользователей и данные профиля
GitHub автоматически создает имя пользователя для каждого разработчика путем нормализации идентификатора, предоставленного идентификатором поставщика удостоверений. Если уникальные части идентификатора удаляются во время нормализации, может возникнуть конфликт. См . раздел AUTOTITLE.
Имя профиля и адрес электронной почты управляемая учетная запись пользователя предоставляется идентификатором поставщика удостоверений:
- Управляемые учетные записи пользователей не может изменить имя профиля или адрес электронной почты на GitHub.
- IdP может предоставить только один адрес электронной почты.
- Изменение адреса электронной почты пользователя в идентификаторе поставщика удостоверений отмежет пользователя от журнала вкладов, связанного со старым адресом электронной почты.
Управление ролями и доступом
В идентификаторе поставщика удостоверений можно предоставить каждой роли управляемая учетная запись пользователя вашей организации, например участника, владельца или гостевого участника совместной работы. См . раздел AUTOTITLE.
Членство в организации (и доступ к репозиторию) можно управлять вручную или автоматически обновлять членство с помощью групп поставщика удостоверений. См . раздел AUTOTITLE.
Проверка подлинности для управляемые учетные записи пользователей
Расположения, в которых управляемые учетные записи пользователей могут проходить проверку подлинности в GitHub зависит от способа настройки проверки подлинности (SAML или OIDC). См . раздел AUTOTITLE.
По умолчанию, когда пользователь, не прошедший проверку подлинности, пытается получить доступ к вашей организации, GitHub отображает ошибку 404. Вместо этого можно включить автоматические перенаправления в единый вход. См . раздел AUTOTITLE.