必须先执行一系列配置步骤,开发人员才能将 GitHub Enterprise Cloud 与 Enterprise Managed Users 一起使用。
创建新的企业帐户
要使用 Enterprise Managed Users,需要启用了 Enterprise Managed Users 的单独企业帐户类型****。
- 若要在 GitHub.com 上创建企业,请启动 GitHub Enterprise Cloud 的 30 天免费试用版,并选择“具有托管用户的企业”。**** 请参阅 设置 GitHub Enterprise Cloud 试用版。
- 如果需要 数据驻留,请联系 GitHub 的销售团队。
了解企业托管的位置
Enterprise Managed Users 在 GitHub.com 上可用;如果使用 数据驻留,则该产品在你自己的 GHE.com 子域上可用。
环境的设置过程类似。 但是,你需要注意在遵循此过程时托管企业的位置。**** 例如,需要在标识提供者中使用的应用程序或需要提供的配置值可能存在差异。
创建设置用户
创建企业后,将收到一封电子邮件,邀请你为设置用户选择密码,该密码用于配置身份验证和预配。 用户名是企业短代码(由你选择或随机生成),后缀为 _admin
。 例如:fabrikam_admin
。
使用隐身或专用浏览窗口****:
- 设置用户密码。
- 保存用户的恢复代码。
- 启用双因素身份验证。 请参阅 配置双重身份验证。
如果需要重置设置用户的密码,请通过 GitHub 支持门户 联系 GitHub 支持。 提供电子邮件地址时,通常的密码重置选项将不起作用。
我们强烈建议你将设置用户的凭据存储在公司的密码管理工具中****。 需要有人以该用户身份登录,以便更新身份验证设置、迁移到其他标识提供者或身份验证方法,或者使用企业的恢复代码。
创建 personal access token
接下来,创建可用于配置预配的 personal access token。
- 创建令牌时,必须以安装用户身份登录。
- 令牌的范围必须为 scim:enterprise。
- 令牌必须没有过期。
若要了解如何创建 personal access token (classic),请参阅“管理个人访问令牌”。
配置身份验证
接下来,配置成员的身份验证方式。
如果使用 Entra ID **** 作为 IdP,可以在 OpenID Connect (OIDC) 和安全断言标记语言 (SAML) 之间进行选择。
- 建议使用 OIDC,其中包括对条件访问策略 (CAP) 的支持。
- 如果需要从一个租户预配多个企业,则可以对第一个企业使用 SAML 或 OIDC,但必须对每个其他企业使用 SAML。
如果使用的是其他 IdP****(例如 Okta 或 PingFederate),则必须使用 SAML 对成员进行身份验证。
首先,请阅读所选身份验证方法的指南。
如果使用合作伙伴 IdP 进行身份验证和预配,GitHub 提供了“预设”集成和全面支持。 也可以使用符合 SAML 2.0 和 SCIM 2.0 的任何系统或系统组合。 但是,对于此类系统的问题排查的支持可能较为有限。 有关详细信息,请参阅 关于 Enterprise Managed Users。
配置预配
配置身份验证后,可以配置 SCIM 预配,即 IdP 在 GitHub 上创建 托管用户帐户 的方式。 请参阅“为企业托管用户配置 SCIM 预配”。
管理组织成员资格
配置身份验证和预配后,可以将 IdP 组与团队同步,从而开始管理 托管用户帐户 的组织成员身份。 请参阅“使用标识提供者组管理团队成员身份”。
支持具有多个用户帐户的开发人员
开发人员可能需要为 具有托管用户的企业 之外的工作维护单独的个人帐户。 可以提供以下资源来帮助他们管理多个帐户: