Сведения о Enterprise Managed Users
С помощью Enterprise Managed Users можно управлять учетными записями пользователей корпоративных участников с помощью поставщика удостоверений (IdP). Пользователи, назначенные приложению GitHub Enterprise Managed User в поставщике удостоверений, подготавливаются в качестве новых учетных записей пользователей в GitHub и добавляются в ваше предприятие. Вы управляете именами пользователей, данными профиля, членством в команде и доступом к репозиторию для учетных записей пользователей из своего поставщика удостоверений.
В поставщике удостоверений вы можете предоставить каждому управляемая учетная запись пользователя роль пользователя, владельца предприятия или менеджера по выставлению счетов. Управляемые учетные записи пользователей может владеть организациями в пределах предприятия и добавлять другие управляемые учетные записи пользователей в организации и команды. Дополнительные сведения см. в разделах Роли на предприятии и Сведения об организациях.
Если ваше предприятие использует единый вход OIDC, GitHub будет автоматически использовать IP-условия политики условного доступа (CAP) поставщика удостоверений для проверки взаимодействия пользователей с GitHub, когда участники меняют IP-адреса, и каждый раз, когда используется ключ personal access token или SSH. Дополнительные сведения см. в разделе Сведения о поддержке политики условного доступа поставщика удостоверений.
Вы можете предоставить управляемые учетные записи пользователей доступ к репозиториям и возможность вносить свой вклад в репозитории на предприятии, но управляемые учетные записи пользователей не может создавать общедоступное содержимое или совместно работать с другими пользователями, организациями и предприятиями в остальной части GitHub. Дополнительные сведения см. в разделе Возможности и ограничения управляемые учетные записи пользователей.
Имена пользователей управляемые учетные записи пользователей вашей организации и сведения о профиле, такие как отображаемые имена и адреса электронной почты, задаются через поставщика удостоверений и не могут быть изменены самими пользователями. Дополнительные сведения см. в разделе Имена пользователей и данные профиля.
Владельцы предприятия могут выполнять аудит всех действий управляемые учетные записи пользователейв GitHub. Дополнительные сведения см. в разделе События журнала аудита для вашего предприятия.
Для использования Enterprise Managed Users требуется отдельный тип корпоративной учетной записи с включенной функцией Enterprise Managed Users. Дополнительные сведения о создании этой учетной записи см. в разделе Начало работы с Enterprise Managed Users.
Примечание. Существует несколько вариантов управления удостоверениями и доступом с помощью GitHub Enterprise Cloud, и Enterprise Managed Users — не лучшее решение для каждого клиента. Дополнительные сведения о том, подходит ли Enterprise Managed Users для вашего предприятия, см. в разделе Сведения о проверке подлинности для вашей организации.
Сведения об управлении членством в организации
Членством в организации можно управлять вручную или автоматически обновлять членство с помощью групп поставщика удостоверений. Чтобы управлять членством в организации через поставщика удостоверений, участники должны быть добавлены в группу idP, а группа IdP должна быть подключена к команде в организации. Дополнительные сведения об автоматическом управлении членством в организациях и командах см. в разделе Управление членством в группах поставщиков удостоверений.
Способ добавления участника в организацию, принадлежащей вашему предприятию (через группы поставщика удостоверений или вручную), определяет, как он должен быть удален из организации.
- Если участник был добавлен в организацию вручную, его необходимо удалить вручную. Отмена их назначения в приложении GitHub Enterprise Managed User в поставщике удостоверений приведет к приостановке работы пользователя, но не к его удалению из организации.
- Если пользователь стал членом организации, так как он был добавлен в группы поставщика удостоверений, сопоставленные с одной или несколькими командами в организации, удаление его из всех сопоставленных групп удостоверений, связанных с организацией, приведет к удалению его из организации.
Чтобы узнать, как участник был добавлен в организацию, можно отфильтровать список участников по типу. Дополнительные сведения см. в разделе Просмотр пользователей в организации.
Поддержка поставщиков удостоверений
Поставщик удостоверений | SAML | OIDC |
---|---|---|
Azure Active Directory | ||
Okta |
Примечание. Enterprise Managed Users требует использования одного поставщика удостоверений для SAML и SCIM. Убедитесь, что вы приобрели версию поставщика удостоверений, которая включает SCIM.
Возможности и ограничения управляемые учетные записи пользователей
Управляемые учетные записи пользователей может вносить свой вклад только в частные и внутренние репозитории в корпоративных и частных репозиториях, принадлежащих учетной записи пользователя. Управляемые учетные записи пользователей имеют доступ только для чтения к более широкому сообществу GitHub. Эти ограничения видимости и доступа для пользователей и содержимого применяются ко всем запросам, включая запросы API.
- Управляемые учетные записи пользователей выполняет проверку подлинности только с помощью поставщика удостоверений и не имеет пароля или двухфакторной проверки подлинности, хранящихся в GitHub. В результате они не видят запрос sudo при выполнении конфиденциальных действий. Дополнительные сведения см. в разделе Режим sudo.
- Управляемые учетные записи пользователей не могут быть приглашены в организации или репозитории за пределами предприятия, а управляемые учетные записи пользователей не могут быть приглашены в другие предприятия.
- Управляемые учетные записи пользователей и создаваемое ими содержимое видны только другим участникам предприятия.
- Другие пользователи GitHub не могут видеть, упоминать или приглашать управляемая учетная запись пользователя для совместной работы.
- Управляемые учетные записи пользователей может просматривать все общедоступные репозитории в GitHub.com, но не может взаимодействовать с репозиториями за пределами предприятия одним из следующих способов:
- Отправка кода в репозиторий
- Создание проблем или запросов на вытягивание в репозитории
- Создание или комментирование обсуждений в репозитории
- Комментирование проблем или запросов на вытягивание, а также добавление реакций на комментарии
- Звездочка, просмотр или вилка репозитория
- Управляемые учетные записи пользователей не может создавать gist или комментировать gist.
- Управляемые учетные записи пользователей не может подписаться на пользователей за пределами предприятия.
- Управляемые учетные записи пользователей не удается создать начальные рабочие процессы для GitHub Actions.
- Управляемые учетные записи пользователей не удается установить GitHub Apps в учетных записях пользователей.
- Вы можете выбрать, смогут ли управляемые учетные записи пользователей создавать репозитории, принадлежащие учетным записям пользователей. Дополнительные сведения см. в разделе Применение политик управления репозиториями в организации.
- Если вы разрешаете управляемые учетные записи пользователей создавать репозитории, принадлежащие учетным записям пользователей, они могут владеть только частными репозиториями и могут приглашать других участников предприятия для совместной работы над репозиториями, принадлежащими пользователям.
- Управляемые учетные записи пользователей не может создать вилку репозиториев за пределами предприятия. Управляемые учетные записи пользователей может разветвить частные или внутренние репозитории, принадлежащие организациям на предприятии, в пространство имен учетной записи пользователя или другие организации, принадлежащие предприятию, в соответствии с политикой предприятия.
- В организациях, принадлежащих корпоративный с управляемыми пользователями, можно создавать только частные и внутренние репозитории в зависимости от параметров видимости репозитория организации и предприятия.
- Внешние участники совместной работы не поддерживаются в Enterprise Managed Users.
- Управляемые учетные записи пользователей ограничены в использовании GitHub Pages. Дополнительные сведения см. в разделе Описание GitHub Pages.
- Управляемые учетные записи пользователей может создавать и использовать только codespace, которые принадлежат и оплачиваются их организацией или предприятием. Это означает, что управляемые учетные записи пользователей:
- Можно создавать codespace для репозиториев, принадлежащих их организации, или вилок этих репозиториев при условии, что организация включила выставление счетов за GitHub Codespaces. Дополнительные сведения см. в разделе Включение GitHub Codespaces для организации.
- Невозможно создавать codespace для личных репозиториев, кроме вилок репозиториев, принадлежащих их организации; для любых других репозиториев за пределами организации; или из общедоступных шаблонов GitHub для GitHub Codespaces.
Начало работы с Enterprise Managed Users
Прежде чем ваши разработчики смогут использовать GitHub Enterprise Cloud с Enterprise Managed Users, необходимо выполнить ряд действий по настройке.
-
Для использования Enterprise Managed Users требуется отдельный тип корпоративной учетной записи с включенной функцией Enterprise Managed Users. Чтобы опробовать Enterprise Managed Users или обсудить варианты миграции с существующего предприятия, обратитесь в отдел продаж GitHub.
Ваш контакт из группы продаж GitHub будет работать с вами, чтобы создать корпоративный с управляемыми пользователями. Вам потребуется указать адрес электронной почты пользователя, который настроит ваше предприятие, и короткий код, который будет использоваться в качестве суффикса для имен пользователей корпоративных участников. Краткий код должен быть уникальным для предприятия и должен представлять собой буквенно-цифровую строку длиной от трех до восьми символов, а также не содержать специальных символов. Дополнительные сведения см. в разделе Имена пользователей и данные профиля.
-
После создания предприятия вы получите сообщение электронной почты от GitHub с приглашением выбрать пароль для пользователя настройки предприятия, который станет первым владельцем предприятия. Используйте режим инкогнито или приватное окно в браузере при установке пароля. Пользователь настройки используется только для настройки единого входа и интеграции подготовки SCIM для предприятия. У него больше не будет доступа для администрирования корпоративной учетной записи после успешного включения единого входа. Имя пользователя установки — это короткий код вашей организации с суффиксом
_admin
.Если вам нужно сбросить пароль для пользователя установки, обратитесь к Поддержка GitHub через Портал поддержки GitHub.
-
После входа в систему как пользователь настройки рекомендуется включить двухфакторную проверку подлинности. Дополнительные сведения см. в разделе Настройка двухфакторной проверки подлинности.
-
Для начала настройте способ проверки подлинности ваших участников. Если вы используете Azure Active Directory в качестве поставщика удостоверений, вы можете выбирать между OpenID Connect (OIDC) и языком разметки заявлений системы безопасности (SAML). Мы рекомендуем использовать OIDC, который включает поддержку политик условного доступа (CAP). Если требуется несколько предприятий с подготовкой управляемые учетные записи пользователей из одного клиента, необходимо использовать SAML для каждого предприятия после первого. Если вы используете Okta в качестве поставщика удостоверений, вы можете использовать SAML для проверки подлинности своих участников.
Для начала прочитайте руководство для выбранного вами способа проверки подлинности.
-
После настройки единого входа вы можете настроить подготовку SCIM. SCIM — это то, как поставщик удостоверений создаст управляемые учетные записи пользователей в GitHub.com. Дополнительные сведения о настройке подготовки SCIM см. в разделе Настройка подготовки SCIM для Enterprise Managed Users.
-
После настройки проверки подлинности и подготовки можно приступить к управлению членством в организации для управляемые учетные записи пользователей, синхронизируя группы поставщиков удостоверений с командами. Дополнительные сведения см. в разделе Управление членством в группах поставщиков удостоверений.
Если участники вашего предприятия должны использовать одну рабочую станцию для участия в репозиториях в GitHub.com из управляемая учетная запись пользователя и личной учетной записи, вы можете предоставить поддержку. Дополнительные сведения см. в разделе Поддержка разработчиков с несколькими учетными записями пользователей в GitHub.com.
Проверка подлинности в качестве управляемая учетная запись пользователя
Управляемые учетные записи пользователей должен пройти проверку подлинности через поставщика удостоверений. Для проверки подлинности управляемая учетная запись пользователя может посетить портал приложения поставщика удостоверений или использовать страницу входа в GitHub.com.
По умолчанию, когда пользователь без проверки подлинности пытается получить доступ к предприятию, использующим Enterprise Managed Users, GitHub отображает ошибку 404. Владелец предприятия может включить автоматическое перенаправление на единый вход (SSO) вместо 404. Дополнительные сведения см. в разделе Применение политик для параметров безопасности в вашем предприятии.
Если ошибка конфигурации SAML или проблема с поставщиком удостоверений (IdP) не позволяет использовать единый вход SAML, вы можете использовать код восстановления для доступа к учетной записи предприятия. Дополнительные сведения см. в разделе Управление кодами восстановления для предприятия.
Проверка подлинности в качестве управляемая учетная запись пользователя с помощью GitHub.com
- Перейдите по адресу https://github.com/login.
- В текстовом поле "Имя пользователя или адрес электронной почты" введите имя пользователя, включая символ подчеркивания и короткий код.
Когда форма распознает ваше имя пользователя, она обновится. В этой форме не нужно вводить пароль. - Чтобы перейти к поставщику удостоверений, нажмите кнопку Войти с помощью поставщика удостоверений.
Имена пользователей и данные профиля
GitHub Enterprise Cloud автоматически создает имя пользователя для каждого пользователя, когда его учетная запись создается с помощью SCIM, путем нормализации идентификатора, предоставленного вашим поставщиком удостоверений. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.
Конфликт может возникнуть при подготовке пользователей, если во время нормализации удаляются уникальные части идентификатора, предоставленного вашим поставщиком удостоверений. Если вы не можете подготовить пользователя из-за конфликта имен пользователей, необходимо изменить имя пользователя, предоставляемое вашим поставщиком удостоверений. Дополнительные сведения см. в разделе Рекомендации по использованию имени пользователя для внешней проверки подлинности.
Примечание: Так как GitHub добавляет символ подчеркивания и короткий код в нормализованный идентификатор, предоставленный поставщиком удостоверений при создании каждого имени пользователя, конфликты могут возникать только в пределах каждого корпоративный с управляемыми пользователями. Управляемые учетные записи пользователей может совместно использовать идентификаторы поставщика удостоверений или адреса электронной почты с другими учетными записями пользователей в GitHub.com, которые находятся за пределами предприятия.
Имя профиля и адрес электронной почты управляемая учетная запись пользователя также предоставляются поставщиком удостоверений. Управляемые учетные записи пользователей не может изменить имя своего профиля или адрес электронной почты в GitHub, а поставщик удостоверений может указать только один адрес электронной почты.
Поддержка разработчиков с несколькими учетными записями пользователей в GitHub.com
Люди вашей команды может потребоваться внести свой вклад в ресурсы в GitHub.com, которые находятся за пределами корпоративный с управляемыми пользователями. Например, может потребоваться создать отдельное предприятие для открытый код проектов вашей компании. Так как управляемая учетная запись пользователя не может вносить свой вклад в общедоступные ресурсы, пользователям потребуется поддерживать отдельную личную учетную запись для этой работы.
Люди, которые должны участвовать в работе из двух учетных записей пользователей в GitHub.com с помощью одной рабочей станции, могут настроить Git для упрощения процесса. Дополнительные сведения см. в разделе Управление несколькими учетными записями.