Управление синхронизацией команд в организации

Вы можете включить и отключить синхронизацию команд в поставщиках удостоверений (IdP) и организации на GitHub Enterprise Cloud.

Кто эту функцию можно использовать?

Organization owners can manage team synchronization for an organization.

В этой статье

Примечание. Если ваше предприятие использует Enterprise Managed Users, вам не нужно использовать синхронизацию команд. Вместо этого вы можете управлять членством в команде с помощью конфигурации SCIM, созданной при настройке предприятия. Дополнительные сведения см. в разделе Управление членством в группах поставщиков удостоверений.

Синхронизация команд

Можно включить синхронизацию команд между поставщиком удостоверений (IdP) и GitHub Enterprise Cloud, чтобы разрешить владельцам и ответственным за команду подключать команды в организации к группам IdP.

Если для вашей организации или корпоративной учетной записи включена синхронизация команд, вы можете синхронизировать команду GitHub с группой поставщика удостоверений. При синхронизации команды GitHub с группой поставщика удостоверений изменения членства в группе поставщика удостоверений автоматически отражаются в GitHub Enterprise Cloud, что позволяет не беспокоиться о переносе обновлений вручную или через пользовательские скрипты.

Чтобы подключить команду на GitHub Enterprise Cloud к группе поставщика удостоверений, команда должна уже существовать в вашей организации. Даже если вы настроили подготовку SCIM, создание группы в idP не автоматически создает команду на GitHub Enterprise Cloud.

Примечание. Чтобы подключить единый вход SAML, ваша организация должна использовать GitHub Enterprise Cloud. Дополнительные сведения о том, как бесплатно попробовать GitHub Enterprise Cloud, см. в разделе Настройка пробной версии GitHub Enterprise Cloud.

Можно использовать синхронизацию команды с поддерживаемыми IdP.

  • Коммерческие клиенты Entra ID (Gov Cloud не поддерживается)
  • Okta

Синхронизация групп не является службой подготовки пользователей и не приглашает участников присоединиться к организациям в большинстве случаев. Это означает, что пользователь будет успешно добавлен в команду, если он уже является членом организации. Однако при необходимости можно разрешить синхронизацию команд повторно приглашать пользователей, которые ранее были членами организации и с тех пор были удалены.

После включения синхронизации команд администраторы команд и владельцы организации смогут подключить команду к группе поставщика удостоверений на GitHub или через API. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Синхронизация команды с группой поставщика удостоверений](/rest/teams#team-sync)".

Вы также можете включить синхронизацию групп для всех организаций, принадлежащих корпоративной учетной записи. Если SAML настроен на уровне предприятия, вы не можете включить синхронизацию команд в отдельной организации. Вместо этого необходимо настроить синхронизацию групп для всего предприятия. Дополнительные сведения см. в разделе Управление синхронизацией команд для организаций на предприятии.

Если организация принадлежит корпоративной учетной записи, включение синхронизации команд для корпоративной учетной записи переопределит параметры синхронизации команды на уровне организации. Дополнительные сведения см. в разделе Управление синхронизацией команд для организаций на предприятии.

Ограничения использования

Существуют ограничения на использование функции синхронизации команд. Превышение этих ограничений приведет к снижению производительности и может привести к сбоям синхронизации.

  • Максимальное число участников команды GitHub: 5000
  • Максимальное число участников в организации GitHub: 10 000
  • Максимальное число команд в организации GitHub: 1500

Включение синхронизации команд

Действия по включению синхронизации команд зависят от используемого IdP. Существуют предварительные требования для включения синхронизации команд, которые зависят от IdP. У каждого отдельного поставщика удостоверений есть дополнительные предварительные требования.

Необходимые компоненты

Чтобы включить синхронизацию команд с любым поставщиком удостоверений (IdP), необходимо получить административный доступ к IdP или обратиться к администратору IdP для настройки интеграции и групп IdP. Пользователь, который настраивает интеграцию поставщика удостоверений и группы, должен иметь одно из требуемых разрешений.

IdPНеобходимые разрешения
Идентификатор записи
  • Глобальный администратор
  • администратор привилегированных ролей;
Okta
  • Пользователь службы с разрешениями администратора только для чтения

Необходимо включить единый вход SAML для вашей организации и поддерживаемого поставщика удостоверений. Дополнительные сведения см. в разделе Применение единого входа SAML для вашей организации.

Требуется связанное удостоверение SAML. Чтобы создать связанное удостоверение, необходимо хотя бы один раз пройти проверку подлинности в организации с помощью единого входа SAML и поддерживаемого поставщика удостоверений. Дополнительные сведения см. в разделе Проверка подлинности с помощью единого входа SAML.

Примечание. Для работы синхронизации команд параметры SAML должны содержать допустимый URL-адрес поставщика удостоверений для поля "Издатель". Дополнительные сведения см. в разделе Включение и тестирование единого входа SAML для организации.

Включение синхронизации команд для идентификатора Entra

Чтобы включить синхронизацию команды для идентификатора записи, для установки идентификатора записи требуются следующие разрешения.

  • Чтение полных профилей всех пользователей
  • Вход в систему и чтение профиля пользователя
  • Прочитать данные каталога

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. Убедитесь, что единый вход SAML включен для вашего предприятия.

  5. В разделе "Синхронизация команды" нажмите кнопку "Включить для идентификатора записи".

  6. Подтверждение синхронизации команд.

    • Если у вас есть доступ к поставщику удостоверений, щелкните Включить синхронизацию команд. Вы будете перенаправлены на страницу единого входа SAML поставщика удостоверений, где вам предложат выбрать свою учетную запись и проверить запрашиваемые разрешения.
    • Если у вас нет доступа к поставщику удостоверений, скопируйте ссылку для перенаправления на страницу поставщика удостоверений и передайте ее администратору поставщика удостоверений, чтобы продолжить синхронизацию команд.

  7. Просмотрите сведения об арендаторе поставщика удостоверений, которого вы хотите подключить к организации, и нажмите кнопку Утвердить.

Включение синхронизации команд для Okta

Для синхронизации команд Okta требуется, чтобы SAML и SCIM с Okta уже были настроены для вашей организации.

Чтобы избежать потенциальных ошибок синхронизации команд с Okta, рекомендуется убедиться, что связанные удостоверения SCIM правильно настроены для всех участников организации, которые являются членами выбранных групп Okta, перед включением синхронизации команд на GitHub.

Если у члена организации нет связанного удостоверения SCIM, синхронизация команд не будет работать должным образом, и пользователя нельзя будет корректно добавить или удалить из команд. Если у какого-то из этих пользователей нет связанного удостоверения SCIM, необходимо повторно подготовить их.

Сведения о подготовке пользователей, отсутствующих в связанном удостоверении SCIM, см. в разделе "Устранение неполадок с управлением удостоверениями и доступом для вашей организации".

Прежде чем включить синхронизацию команд для Okta, вам или администратору поставщика удостоверений необходимо выполнить следующие действия:

  • Настроить SAML, единый вход и интеграцию SCIM для вашей организации с помощью Okta. Дополнительные сведения см. в разделе Настройка единого входа SAML и SCIM с помощью Okta.
  • Указать URL-адрес клиента для экземпляра Okta.
  • Создать допустимый токен SSWS с разрешениями администратора только для чтения для установки Okta в качестве пользователя службы. Дополнительные сведения см. в разделах Создание токена и Пользователи службы в документации Okta.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. Убедитесь, что единый вход SAML включен для вашего предприятия.

  5. Мы рекомендуем убедиться, что пользователи включили SAML и имеют связанное удостоверение SCIM, что позволит избежать потенциальных ошибок при подготовке. Дополнительные сведения см. в разделе Устранение неполадок с управлением удостоверениями и доступом для вашей организации.

  6. Попробуйте принудительно применить SAML в организации, чтобы убедиться, что удостоверения SAML и SCIM участников связаны. Дополнительные сведения см. в разделе Применение единого входа SAML для вашей организации.

  7. В разделе "Синхронизация команд" щелкните Включить для Okta.

  8. В поле "Токен SSWS" введите допустимый токен SSWS в вашей организации.

  9. В поле "URL-адрес" введите URL-адрес для экземпляра Okta.

  10. Просмотрите сведения о клиенте поставщика удостоверений, которые вы хотите подключить к организации, а затем нажмите кнопку Создать.

Управление тем, может ли синхронизация команд повторно приглашать участников в организацию

Изменения этого параметра не влияют на ожидающие приглашения. Любое приглашение, созданное во время синхронизации команд, было разрешено повторно пригласить прошлых участников в организацию, может привести к повторному добавлению участника в организацию, даже если повторное приглашение с тех пор было запрещено.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В разделе "Синхронизация команд" выберите или отмените выбор , чтобы команда синхронизации не разрешала повторно приглашать прошлых участников в эту организацию, которые были удалены владелец организации.

Отключение синхронизации команд

Предупреждение. При отключении синхронизации команд все члены команды, назначенные команде GitHub через группу IdP, удаляются из команды и могут потерять доступ к репозиториям.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Рядом с организацией щелкните Параметры.

  3. В разделе "Безопасность" боковой панели щелкните Безопасность проверки подлинности.

  4. В разделе "Синхронизация команд" нажмите кнопку Отключить синхронизацию команды.