使用 Enterprise Managed Users,可以从外部身份管理系统或 IdP 管理 GitHub 上的用户的生命周期和身份验证:
- 你的 的 IdP 在 GitHub 上预配新用户帐户,该帐户有权访问企业。
- 用户必须在 IdP 上进行身份验证,才能访问 GitHub 上的企业资源。
- 可以通过 IdP 控制用户名、个人资料数据、组织成员身份和存储库访问权限。
- 如果企业使用 OIDC SSO,GitHub 将使用 IdP 的条件访问策略 (CAP) 验证对企业及其资源的访问。 请参阅“关于对 IdP 的条件访问策略的支持”。
- 托管用户帐户 无法在企业外部创建公共内容或进行协作。 请参阅“托管用户帐户的功能和限制”。
Note
Enterprise Managed Users 并不是每名客户的最佳解决方案。 要确定是否适合你的企业,请参阅“为 GitHub Enterprise Cloud 选择企业类型”。
身份管理系统
GitHub 合作伙伴与身份管理系统的一些开发人员合作,提供与 Enterprise Managed Users 的“铺好道路”集成。 为了简化配置并确保获得全面支持,请使用单个合作伙伴 IdP 进行身份验证和预配。****
合作伙伴标识提供者
合作伙伴 IDP 使用 SAML 或 OIDC 提供身份验证,并提供跨域身份管理系统 (SCIM) 的预配。
| 合作伙伴 IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
使用单个合作伙伴 IdP 进行身份验证和预配时,GitHub 支持合作伙伴 IdP 上的应用程序,还支持与 GitHub 的 IdP 集成。
其他身份管理系统
如果无法使用单个合作伙伴 IdP 进行身份验证和预配,则可使用其他身份管理系统或系统组合。 系统必须:
- 遵循 GitHub 的集成准则
- 使用 SAML 提供身份验证,遵循 SAML 2.0 规范
- 使用 SCIM 提供用户生命周期管理,遵循 SCIM 2.0 规范,并与 GitHub 的 REST API 进行通信(请参阅“使用 REST API 通过 SCIM 预配用户和组”)
GitHub 没有明确支持混合和匹配合作伙伴 IdP 来进行身份验证和预配,而且未测试所有身份管理系统。 GitHub 的支持团队可能无法协助你解决与混合或未测试的系统相关的问题。 如果需要帮助,必须咨询系统的文档、支持团队或其他资源。
用户名和个人资料信息
GitHub 通过规范 IdP 提供的标识符自动为每个开发人员创建用户名。 如果在规范化期间删除标识符的唯一部分,则可能会发生冲突。 请参阅“外部身份验证的用户名注意事项”。
IdP 提供了 托管用户帐户 的个人资料名称和电子邮件地址:
- 托管用户帐户 _无法_更改 GitHub 上的档案名称或电子邮件地址。
- IdP 只能提供一个电子邮件地址。
- 若更改 IdP 中的用户电子邮件地址,会从与用户旧电子邮件地址关联的参与历史记录取消链接用户。
管理角色和访问权限
在 IdP 中,你可以为每个 托管用户帐户 提供企业中的一个角色,例如成员、所有者或来宾协作者。 请参阅“企业中的角色”。
可手动管理组织成员身份(以及存储库访问权限),也可使用 IdP 组自动更新成员身份。 请参阅“使用标识提供者组管理团队成员身份”。
托管用户帐户 的身份验证
托管用户帐户 可向 GitHub 进行身份验证的位置取决于配置身份验证的方式(SAML 或 OIDC)。 请参阅“Enterprise Managed Users 身份验证”。
默认情况下,当未经身份验证的用户尝试访问你的企业时,GitHub 将显示 404 错误。 你可以选择性地启用自动重定向到单一登录 (SSO)。 请参阅“为企业中的安全设置实施策略”。