关于 Enterprise Managed Users 的预配
必须为 Enterprise Managed Users 配置预配才能为企业成员创建、管理和停用用户帐户。
为 Enterprise Managed Users 配置预配时,在标识提供者中分配给 GitHub Enterprise Managed User 应用程序的用户将通过 SCIM 预配为 GitHub 上的新 托管用户帐户,并且 托管用户帐户 将添加到你的企业中。 如果将某个组分配给应用程序,则该组中的所有用户都将被预配为新的 托管用户帐户。
在 IdP 上更新与用户标识关联的信息时,IdP 将在 GitHub.com 上更新用户的帐户。 从 GitHub Enterprise Managed User 应用程序取消分配用户或停用 IdP 上的用户帐户时,IdP 将与 GitHub 进行通信,以使任何会话失效并禁用该成员的帐户。 已禁用帐户的信息会保留,其用户名将更改为原始用户名的哈希,并追加短代码。 如果将用户重新分配到 GitHub Enterprise Managed User 应用程序或在 IdP 上重新激活其帐户,则会重新激活 GitHub 上的 托管用户帐户 帐户,并还原用户名。
IdP 中的组可用于管理企业组织中的团队成员身份,使你可通过 IdP 配置存储库访问权限和权限。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。
先决条件
在为 Enterprise Managed Users 配置预配之前,必须配置 SAML 或 OIDC 单一登录。
- 有关配置 OIDC 的详细信息,请参阅“为企业托管用户配置 OIDC”。
- 有关配置 SAML 的详细信息,请参阅“为企业托管用户配置 SAML 单一登录”。
创建 personal access token
若要为 具有托管用户的企业 配置预配,需要使用属于安装用户的作用域为 admin:enterprise 的 personal access token (classic)。
警告: 如果令牌过期或预配的用户创建了令牌,SCIM 预配可能会意外停止工作。 请确保在以安装用户身份登录时创建令牌,并将令牌过期设置为“不过期”。
-
使用用户名“@SHORT-CODE_admin”以新企业的安装用户身份登录到 GitHub.com。
-
在任何页面的右上角,单击个人资料照片,然后单击“设置”。
-
在左侧边栏中,单击“ 开发人员设置”。
-
在左侧边栏中,单击“Personal access token”。 1. 单击“生成新令牌”。
-
在“备注”下,为令牌提供描述性名称。
-
选择“过期”下拉菜单,然后单击“不过期” 。
-
选择 admin:enterprise 作用域。
-
单击“生成令牌”。****
-
若要将令牌复制到剪贴板,请单击 。
-
若要保存令牌以供以后使用,请将新令牌安全地存储在密码管理器中。
为 Enterprise Managed Users 配置预配
创建 personal access token 并安全地存储它后,可以在标识提供者上配置预配。
注意:为避免超过 GitHub Enterprise Cloud 的速率限制,每小时为 IdP 应用程序分配的用户不要超过 1,000 个。 如果使用组将用户分配到 IdP 应用程序,则每小时向每个组添加的用户不要超过 1,000 个。 如果超出这些阈值,预配用户的尝试可能会失败并出现“速率限制”错误。 可以查看 IdP 日志,确认尝试的 SCIM 预配或推送操作是否由于速率限制错误而失败。 对失败的预配尝试的响应将取决于 IdP。 有关详细信息,请参阅“排除企业的标识和访问管理故障”。
若要配置预配,请遵循下表中的相应链接。
| 标识提供者 | SSO 方法 | 详细信息 | |---|---|---| | Azure AD | OIDC | Azure AD 文档中的教程:为 GitHub Enterprise Managed User (OIDC) 配置自动用户预配 | | Azure AD | SAML | Azure AD 文档中的教程:为 GitHub Enterprise Managed User (OIDC) 配置自动用户预配 | |Okta |SAML | 使用 Okta 为企业托管用户配置 SCIM 预配 |
注意:Azure AD 不支持预配嵌套组。 有关详细信息,请参阅应用程序预配在 Azure Active Directory 中的工作方式。