Синхронизация команды с группой поставщика удостоверений

Можно синхронизировать команду GitHub Enterprise Cloud с поддерживаемой группой поставщика удостоверений (IdP), чтобы автоматически добавлять и удалять членов команды.

Кто эту функцию можно использовать?

Organization owners and team maintainers can synchronize a GitHub team with an IdP group.

В этой статье

Примечание. Если ваше предприятие использует Enterprise Managed Users, вам не нужно использовать синхронизацию команд. Вместо этого вы можете управлять членством в команде с помощью конфигурации SCIM, созданной при настройке предприятия. Дополнительные сведения см. в разделе Управление членством в группах поставщиков удостоверений.

Синхронизация команд

Если для вашей организации или корпоративной учетной записи включена синхронизация команд, вы можете синхронизировать команду GitHub с группой поставщика удостоверений. При синхронизации команды GitHub с группой поставщика удостоверений изменения членства в группе поставщика удостоверений автоматически отражаются в GitHub Enterprise Cloud, что позволяет не беспокоиться о переносе обновлений вручную или через пользовательские скрипты. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Управление синхронизацией команд в организации](/admin/identity-and-access-management/managing-iam-for-your-enterprise/managing-team-synchronization-for-organizations-in-your-enterprise)".

Вы можете подключить до пяти групп поставщика удостоверений к команде GitHub Enterprise Cloud . Группу поставщика удостоверений можно назначить нескольким командам GitHub Enterprise Cloud.

При синхронизации команды группы поставщика удостоверений с более чем 5000 участниками не поддерживаются.

После подключения команды GitHub к группе поставщика удостоверений администратор поставщика удостоверений должен внести изменения в членство в команде посредством поставщика удостоверений. Вы не можете управлять членством в группах в GitHub Enterprise Cloud или с помощью API.

Если организация принадлежит корпоративной учетной записи, включение синхронизации команд для корпоративной учетной записи переопределит параметры синхронизации команды на уровне организации. Дополнительные сведения см. в разделе Управление синхронизацией команд для организаций на предприятии.

Синхронизация групп не является службой подготовки пользователей и не приглашает участников присоединиться к организациям в большинстве случаев. Это означает, что пользователь будет успешно добавлен в команду, если он уже является членом организации. Однако при необходимости можно разрешить синхронизацию команд повторно приглашать пользователей, которые ранее были членами организации и с тех пор были удалены. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Управление синхронизацией команд в организации](/admin/identity-and-access-management/using-saml-for-enterprise-iam/managing-team-synchronization-for-organizations-in-your-enterprise#managing-whether-team-synchronization-can-invite-non-members-to-organizations)".

Все изменения членства в команде, внесенные с помощью поставщика удостоверений, будут отображаться в журнале аудита в GitHub Enterprise Cloud как изменения, внесенные ботом синхронизации команды. Синхронизация групп будет запрашивать сведения о группе от поставщика удостоверений по крайней мере один раз в час и отражать любые изменения членства в группе idP в GitHub Enterprise Cloud. Подключение команды к группе поставщика удостоверений может привести к удалению некоторых участников команды. Дополнительные сведения см. в разделе Требования для участников синхронизированных команд.

Родительские команды невозможно синхронизировать с группами поставщика удостоверений. Если команда, которую вы хотите подключить к группе поставщика удостоверений, является родительской командой, рекомендуется создать новую команду или удалить вложенные связи, которые делают вашу команду родительской. Дополнительные сведения см. в разделе[ "AUTOTITLE", "Сведения о командах" и "Перемещение команды по иерархии организации](/organizations/organizing-members-into-teams/creating-a-team)".

Для управления доступом к репозиторию для любой команды GitHub, включая команды, подключенные к группе поставщика удостоверений, необходимо внести изменения в GitHub Enterprise Cloud. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Сведения о командах](/organizations/managing-user-access-to-your-organizations-repositories/managing-repository-roles/managing-team-access-to-an-organization-repository)".

Для управления синхронизацией команд можно также использовать API. Дополнительные сведения см. в разделе "Конечные точки REST API для синхронизации групп".

Требования для участников синхронизированных команд

После подключения команды к группе поставщика удостоверений при синхронизации команд каждый участник группы поставщика удостоверений будет добавлен в соответствующую команду в GitHub Enterprise Cloud только в случае, если соблюдены следующие условия:

  • Если синхронизация команд не разрешена приглашать участников в вашу организацию, пользователь уже является членом организации на GitHub Enterprise Cloud.
  • Пользователь уже выполнил вход со своей личной учетной записью GitHub Enterprise Cloud и прошел проверку подлинности в учетной записи организации или корпоративной посредством единого входа SAML по крайней мере один раз.
  • Удостоверение единого входа пользователя является членом группы поставщика удостоверений.

Существующие команды или участники группы, которые не соответствуют этим критериям, будут автоматически удалены из команды GitHub Enterprise Cloud и теряют доступ к репозиториям. Отмена связанного удостоверения пользователя также приведет к удалению пользователя из всех команд, сопоставленных с группами поставщика удостоверений. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Просмотр доступа SAML участника к вашей организации и управление им](/enterprise-cloud@latest/admin/user-management/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise#viewing-and-revoking-a-linked-identity)".

Удаленного участника команды можно добавить обратно в команду автоматически после проверки подлинности в учетной записи организации или предприятия с помощью единого входа и перемещения в подключенную группу поставщика удостоверений.

Чтобы избежать непреднамеренного удаления участников команды, рекомендуется принудительно применить единый вход SAML в учетной записи вашей организации или предприятия, создать новые команды для синхронизации данных о членстве и проверять членство в группах поставщика удостоверений перед синхронизацией существующих команд. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Применение единого входа SAML для вашей организации](/enterprise-cloud@latest/admin/identity-and-access-management/using-saml-for-enterprise-iam/configuring-saml-single-sign-on-for-your-enterprise)".

Необходимые компоненты

Чтобы подключить команду на GitHub Enterprise Cloud к группе поставщика удостоверений, команда должна уже существовать в вашей организации. Даже если вы настроили подготовку SCIM, создание группы в idP не автоматически создает команду на GitHub Enterprise Cloud.

Прежде чем подключить команду GitHub Enterprise Cloud с группой поставщика удостоверений, организация или владелец предприятия должна включить синхронизацию команд для вашей организации или корпоративной учетной записи. Дополнительные сведения см. в разделе "[AUTOTITLE" и "Управление синхронизацией команд в организации](/enterprise-cloud@latest/admin/identity-and-access-management/using-saml-for-enterprise-iam/managing-team-synchronization-for-organizations-in-your-enterprise)".

Чтобы избежать непреднамеренного удаления участников команды, перейдите на портал администрирования поставщика удостоверений и убедитесь, что каждый текущий участник команды также входит в группы поставщика удостоверений, к которым вы хотите подключить эту команду. Если у вас нет такого доступа к поставщику удостоверений, можете обратиться к администратору поставщика удостоверений.

Необходимо пройти проверку подлинности с помощью единого входа SAML. Дополнительные сведения см. в разделе Проверка подлинности с помощью единого входа SAML.

Подключение группы поставщика удостоверений к команде

При подключении группы поставщика удостоверений к команде GitHub Enterprise Cloud все пользователи в группе автоматически добавляются в команду.

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Щелкните название своей организации.

  3. Под именем организации щелкните Teams.

    Снимок экрана: горизонтальная панель навигации для организации. Вкладка, помеченная значком "Люди" и "Teams", описывается в темно-оранжевый цвет.

  4. Щелкните имя команды.

  5. В верхней части страницы команды щелкните Параметры.

    Снимок экрана: заголовок страницы команды. Вкладка, помеченная значком шестеренки и "Параметры", описывается в темно-оранжевый цвет.

  6. В разделе "Группы поставщиков удостоверений" выберите раскрывающееся меню "Выбор групп " и выберите до 5 групп поставщиков удостоверений.

  7. Нажмите кнопку Сохранить изменения.

Отключение группы поставщика удостоверений от команды

  1. В правом верхнем углу GitHub.com, выберите фото профиля, а затем щелкните Ваши организации.

    Снимок экрана: раскрывающееся меню в @octocatразделе "Изображение профиля". "Ваши организации" описаны в темно-оранжевый цвет.

  2. Щелкните название своей организации.

  3. Под именем организации щелкните Teams.

    Снимок экрана: горизонтальная панель навигации для организации. Вкладка, помеченная значком "Люди" и "Teams", описывается в темно-оранжевый цвет.

  4. Щелкните имя команды.

  5. В верхней части страницы команды щелкните Параметры.

    Снимок экрана: заголовок страницы команды. Вкладка, помеченная значком шестеренки и "Параметры", описывается в темно-оранжевый цвет.

  6. В разделе "Группы поставщиков удостоверений" справа от группы поставщика удостоверений, которую вы хотите отключить, щелкните .

  7. Нажмите кнопку Сохранить изменения.