关于使用 Okta 进行预配
您可以使用 Enterprise Managed Users Okta 作为您的身份提供商来预配新帐户、管理企业成员身份以及管理企业中组织的团队成员身份。 有关预配 Enterprise Managed Users 的详细信息,请参阅“为 Enterprise Managed User 配置 SCIM 预配”。
注意:Enterprise Managed Users 需要 SCIM,因此必须使用包含 SCIM 的 Okta 版本。
在使用 Okta 配置预配之前,必须配置 SAML 单点登录。 有关详细信息,请参阅“为企业托管用户配置 SAML 单一登录”。
要使用 Okta 配置预配,必须在 GitHub Enterprise Managed User 应用程序中设置企业名称,并输入安装用户的 personal access token。 然后,您可以在 Okta 中开始预配用户。
支持的功能
Enterprise Managed Users 支持 Okta 中的许多预配功能。
功能 | 说明 |
---|---|
推送新用户 | 分配给 Okta 中的 GitHub Enterprise Managed User 应用程序的用户将在 GitHub Enterprise Cloud 上自动创建。 |
推送配置文件更新 | 对 Okta 中的用户配置文件所做的更新将被推送到 GitHub Enterprise Cloud。 |
推送组 | Okta 中作为推送组分配给 GitHub Enterprise Managed User 应用程序的组将在 GitHub Enterprise Cloud 上自动创建。 |
推送用户停用 | 从 Okta 中的 GitHub Enterprise Managed User 应用程序中取消分配用户将在 GitHub Enterprise Cloud 上禁用该用户。 用户将无法登录,但会保留用户的信息。 |
重新激活用户 | 将启用 Okta 中已重新激活其 Okta 帐户并将其分配回 GitHub Enterprise Managed User 应用程序的用户。 |
注意: Enterprise Managed Users 不支持修改用户名。
设置企业名称
创建 具有托管用户的企业 后,可以通过在 Okta 中设置企业名称来开始配置预配。
- 导航到 Okta 上的 GitHub Enterprise Managed User 应用程序。
- 单击“登录”选项卡。
- 若要进行更改,请单击“编辑”。
- 在“Advanced Sign-on Settings(高级登录设置)”下的“Enterprise Name(企业名称)”文本框中,键入您的企业名称。 例如,如果你在
https://github.com/enterprises/octoinc
访问你的企业,则你的企业名称将为“octoinc”。 - 若要保存企业名称,请单击“保存”。
配置预配
设置企业名称后,可以继续配置预配设置。
若要配置预配,具有 @SHORT-CODE_admin 用户名的安装用户将需要提供作用域为 admin:enterprise 的 personal access token (classic)。 有关创建新令牌的详细信息,请参阅“为 Enterprise Managed User 配置 SCIM 预配”。
- 导航到 Okta 上的 GitHub Enterprise Managed User 应用程序。
- 单击 资源调配 选项卡。
- 在“设置”菜单中,单击“集成”。
- 若要进行更改,请单击“编辑”。
- 选择“启用 API 集成”。
- 在“API 令牌”字段中,输入属于安装用户的作用域为 admin:enterprise 的 personal access token (classic)。
- 单击“测试 API 凭据”。 如果测试成功,屏幕顶部将显示一条验证消息。
- 若要保存令牌,请单击“保存”。
- 在“设置”菜单中,单击“转到应用”。
- 在“预配到应用”的右侧,要允许进行更改,请单击“编辑”。
- 对于“创建用户”、“更新用户属性”和“停用用户”,选择“启用” 。
- 若要完成配置预配,请单击“保存”。
分配用户和组
配置 SAML SSO 和预配后,可以通过将用户或组分配到 GitHub Enterprise Managed User 应用程序在 GitHub.com 上预配新用户。
注意:为避免超过 GitHub Enterprise Cloud 的速率限制,每小时为 IdP 应用程序分配的用户不要超过 1,000 个。 如果使用组将用户分配到 IdP 应用程序,则每小时向每个组添加的用户不要超过 100 个。 如果超出这些阈值,预配用户的尝试可能会失败并出现“速率限制”错误。
还可以通过将组添加到 Okta 中的“推送组”选项卡来自动管理组织成员身份。 成功预配组后,该组将可用于连接到企业组织中的团队。 有关管理团队的详细信息,请参阅“使用标识提供者组管理团队成员身份”。
分配用户时,可以使用 GitHub Enterprise Managed User 应用程序中的“角色”属性在 GitHub Enterprise Cloud 上设置用户在企业中的角色。 有关角色的详细信息,请参阅“企业中的角色”。
取消预配用户和组
若要从 GitHub Enterprise Cloud 中删除用户或组,请从 Okta 的“分配”选项卡和“推送组”选项卡中删除用户或组。 对于用户,请确保从“推送组”选项卡中的所有组中删除该用户。