采用 具有数据驻留的 GitHub Enterprise Cloud 时,可以选择公司代码和数据的存储位置。
与 GitHub 的销售团队 合作创建在 GHE.com 上具有专用 URL 的企业帐户后,可使用本指南设置企业****。 你将:
- 通过配置身份验证和使用标识管理系统进行预配来添加用户
- 设置企业计费
- (可选)从另一个平台迁移数据
- 了解可用功能,包括工作方式不同的或需要其他配置的功能
完成此初始设置后,你将能够创建组织和存储库、协作处理代码、配置策略等。
先决条件
-
必须已经在 GHE.com 上预配了企业。
-
如果打算使用 Microsoft Azure 订阅付费,则必须具有 Azure 门户的管理员访问权限,或者与其他人协作配置管理员同意工作流。 有关先决条件的完整列表,请参阅“连接 Azure 订阅”。
-
必须确保客户端系统信任 GitHub 的 SSH 密钥指纹且可访问某些主机名和 IP 地址。 请参阅“GHE.com 的网络详细信息”。
1.向企业添加用户
GHE.com 上的企业使用 Enterprise Managed Users。 要创建用户帐户并授予对 GHE.com 上的新企业的访问权限,必须配置身份验证和 SCIM 预配。 请参阅“Enterprise Managed Users 入门”。
以设置用户身份登录
创建企业后,将收到一封电子邮件,邀请你为设置用户选择密码,该密码用于配置身份验证和预配。 用户名是随机生成的短代码,后缀为 _admin。
使用隐身或专用浏览窗口****:
- 设置用户密码。
- 保存用户的恢复代码。
如果需要重置设置用户的密码,请通过 GitHub 支持门户 联系 GitHub 支持。 提供电子邮件地址时,通常的密码重置选项将不起作用。
创建 personal access token
接下来,创建可用于配置预配的 personal access token。
- 创建令牌时,必须以安装用户身份登录。
- 令牌的范围必须为 scim:enterprise。
- 令牌必须没有过期。
若要了解如何创建 personal access token (classic),请参阅“管理个人访问令牌”。
配置身份验证
接下来,配置成员的身份验证方式。
如果使用 Entra ID **** 作为 IdP,可以在 OpenID Connect (OIDC) 和安全断言标记语言 (SAML) 之间进行选择。
- 建议使用 OIDC,其中包括对条件访问策略 (CAP) 的支持。
- 如果需要从一个租户预配多个企业,则可以对第一个企业使用 SAML 或 OIDC,但必须对每个其他企业使用 SAML。
如果使用的是其他 IdP****(例如 Okta 或 PingFederate),则必须使用 SAML 对成员进行身份验证。
首先,请阅读所选身份验证方法的指南。
配置预配
配置身份验证后,可以配置 SCIM 预配,即 IdP 在 GitHub 上创建 托管用户帐户 的方式。 请参阅“为企业托管用户配置 SCIM 预配”。
管理组织成员资格
配置身份验证和预配后,可以将 IdP 组与团队同步,从而开始管理 托管用户帐户 的组织成员身份。 请参阅“使用标识提供者组管理团队成员身份”。
2.设置帐单
要支付许可证和服务费用,可以使用信用卡、PayPal 或 Microsoft Azure 订阅。
- 若要添加信用卡或 PayPal 详细信息,请参阅“管理付款和账单信息”。
- 要链接 Azure 订阅,请参阅“连接 Azure 订阅”。
3.迁移数据
(可选)要将现有数据迁移到 GHE.com 上的新企业,可以使用 GitHub 的迁移工具。
- 如果要从 GitHub.com、GitHub Enterprise Server、Azure DevOps 或 Bitbucket Server 进行迁移,可以使用 GitHub Enterprise Importer 迁移源代码历史记录和元数据。 请参阅“关于 GitHub Enterprise Importer”。
- 如果要从其他平台进行迁移,请参阅“迁移到 GitHub 的路径”。
GitHub Enterprise Importer 的示例脚本
以下脚本演示如何使用 GitHub Enterprise Importer 将单个源存储库从 GitHub.com 迁移到 GHE.com 上的目标存储库。 --target-api-url 参数可将 GHE.com 上的企业设置为迁移目标。
可以使用脚本中的环境变量定义作为示例来创建使用 GitHub Enterprise Importer 迁移数据的其他命令。
在以下脚本中,将以下占位符文本替换为实际值****。
| 占位符 | 说明 |
|---|---|
| TARGET-TOKEN | 用于访问 GHE.com 上的目标企业的Personal access token (PAT) |
| SOURCE-TOKEN | 用于访问 GitHub.com 上的源资源的 PAT |
| TARGET-GHE-API-URL | 用于访问企业 API 终结点的 URL。 例如,如果企业的子域是 octocorp,此值必须是 https://api.octocorp.ghe.com。 |
| SOURCE-GH-ORGANIZATION-NAME | GitHub.com 上的源组织的名称。 |
| SOURCE-GH-REPOSITORY-NAME | GitHub.com 上的源存储库的名称。 |
| TARGET-GHE-ORGANIZATION-NAME | GHE.com 上的目标组织的名称。 |
| TARGET-GHE-REPOSITORY-NAME | GHE.com 上的目标存储库的名称。 |
#!/bin/sh export GH_PAT="TARGET-TOKEN" export GH_SOURCE_PAT="SOURCE-TOKEN" export TARGET_API_URL="TARGET-GHE-API-URL" export GITHUB_SOURCE_ORG="SOURCE-GH-ORGANIZATION-NAME" export SOURCE_REPO="SOURCE-GH-REPOSITORY-NAME" export GITHUB_TARGET_ORG="TARGET-GHE-ORGANIZATION-NAME" export TARGET_REPO="TARGET-GHE-REPOSITORY-NAME" gh gei migrate-repo --target-api-url $TARGET_API_URL --github-source-org $GITHUB_SOURCE_ORG --source-repo $SOURCE_REPO --github-target-org $GITHUB_TARGET_ORG --target-repo $TARGET_REPO --verbose
#!/bin/sh
export GH_PAT="TARGET-TOKEN"
export GH_SOURCE_PAT="SOURCE-TOKEN"
export TARGET_API_URL="TARGET-GHE-API-URL"
export GITHUB_SOURCE_ORG="SOURCE-GH-ORGANIZATION-NAME"
export SOURCE_REPO="SOURCE-GH-REPOSITORY-NAME"
export GITHUB_TARGET_ORG="TARGET-GHE-ORGANIZATION-NAME"
export TARGET_REPO="TARGET-GHE-REPOSITORY-NAME"
gh gei migrate-repo --target-api-url $TARGET_API_URL --github-source-org $GITHUB_SOURCE_ORG --source-repo $SOURCE_REPO --github-target-org $GITHUB_TARGET_ORG --target-repo $TARGET_REPO --verbose
4.了解 GitHub 的功能
完成企业的初始设置后,你和你的企业成员可以开始使用 GitHub 的功能。
GHE.com 上 数据驻留 的可用功能类似于 GitHub.com 上 托管用户帐户 的可用功能,但有一些添加和例外。与 GitHub.com 上的等效功能相比,某些功能的工作方式不同或需要额外的配置。 请参阅“具有数据驻留的 GitHub Enterprise Cloud 的功能概述”。