С помощью Enterprise Managed Usersвы управляете жизненным циклом и проверкой подлинности пользователей на GitHub из внешней системы управления удостоверениями или поставщика удостоверений:
- Ваш idP подготавливает новые учетные записи пользователей для GitHub, с доступом к вашей организации.
- Пользователи должны пройти проверку подлинности в idP , чтобы получить доступ к ресурсам предприятия на GitHub.
- Вы управляете именами пользователей, данными профиля, членством в организации и доступом к репозиторию из поставщика удостоверений.
- Если ваше предприятие использует единый вход OIDC, GitHub проверяет доступ к вашей организации и его ресурсам с помощью политики условного доступа поставщика удостоверений (CAP). См. раздел "Сведения о поддержке политики условного доступа поставщика удостоверений".
- Управляемые учетные записи пользователей не может создавать общедоступное содержимое или совместно работать вне вашей организации. См. раздел "Возможности и ограничения управляемых учетных записей пользователей".
Note
Enterprise Managed Users не является лучшим решением для каждого клиента. Чтобы определить, подходит ли оно для вашего предприятия, см. раздел "Выбор типа предприятия для GitHub Enterprise Cloud".
Системы управления удостоверениями
GitHub сотрудничает с некоторыми разработчиками систем управления удостоверениями, чтобы обеспечить интеграцию "проложенный путь" с Enterprise Managed Users. Чтобы упростить конфигурацию и обеспечить полную поддержку, используйте единый идентификатор партнера для проверки подлинности и подготовки.
Поставщики удостоверений партнеров
Поставщики удостоверений партнеров обеспечивают проверку подлинности с помощью SAML или OIDC и предоставляют подготовку с помощью системы для управления междоменной идентификацией (SCIM).
| Поставщика удостоверений партнера | SAML | OIDC | SCIM |
|---|---|---|---|
| Идентификатор записи | |||
| Okta | |||
| PingFederate |
При использовании единого поставщика удостоверений для проверки подлинности и подготовки GitHub обеспечивает поддержку приложения для поставщика удостоверений и интеграции поставщика удостоверений с GitHub.
Другие системы управления удостоверениями
Если для проверки подлинности и подготовки нельзя использовать единый партнер idP, можно использовать другую систему управления удостоверениями или комбинацию систем. Система должна:
- Соблюдайте правила интеграции GitHub.
- Предоставление проверки подлинности с помощью SAML, привязывание к спецификации SAML 2.0
- Предоставьте управление жизненным циклом пользователей с помощью SCIM, придерживаясь спецификации SCIM 2.0 и взаимодействуя с GitHubREST API (см. "AUTOTITLE")
Note
Подготовка пользователей с помощью общедоступной схемы SCIM GitHubнаходится в общедоступной бета-версии и подлежит изменению.
GitHub не поддерживает сочетание и сопоставление поставщиков удостоверений для проверки подлинности и подготовки и не проверяет все системы управления удостоверениями. может оказаться не в состоянии помочь вам с проблемами, связанными с смешанными или непроверенными системами. Если вам нужна помощь, необходимо обратиться к документации системы, группе поддержки или другим ресурсам.
Имена пользователей и данные профиля
GitHub автоматически создает имя пользователя для каждого разработчика путем нормализации идентификатора, предоставленного идентификатором поставщика удостоверений. Если уникальные части идентификатора удаляются во время нормализации, может возникнуть конфликт. См. раздел "Рекомендации по использованию имени пользователя для внешней проверки подлинности".
Имя профиля и адрес электронной почты управляемая учетная запись пользователя предоставляется идентификатором поставщика удостоверений:
- Управляемые учетные записи пользователей не может изменить имя профиля или адрес электронной почты на GitHub.
- IdP может предоставить только один адрес электронной почты.
- Изменение адреса электронной почты пользователя в идентификаторе поставщика удостоверений отмежет пользователя от журнала вкладов, связанного со старым адресом электронной почты.
Управление ролями и доступом
В идентификаторе поставщика удостоверений можно предоставить каждой роли управляемая учетная запись пользователя вашей организации, например участника, владельца или гостевого участника совместной работы. См. раздел "Роли на предприятии".
Членство в организации (и доступ к репозиторию) можно управлять вручную или автоматически обновлять членство с помощью групп поставщика удостоверений. См. раздел "Управление членством в группах поставщиков удостоверений".
Проверка подлинности для управляемые учетные записи пользователей
Расположения, в которых управляемые учетные записи пользователей могут проходить проверку подлинности в GitHub зависит от способа настройки проверки подлинности (SAML или OIDC). См. раздел "Проверка подлинности с помощью Enterprise Managed Users".
По умолчанию, когда пользователь, не прошедший проверку подлинности, пытается получить доступ к вашей организации, GitHub отображает ошибку 404. Вместо этого можно включить автоматические перенаправления в единый вход. См. раздел "Применение политик для параметров безопасности в вашем предприятии".