关于使用 Okta 进行预配
如果使用 Okta 作为 IdP,则可以使用 Okta 的应用程序来预配用户帐户、管理企业成员身份以及为企业中的组织管理团队成员身份。 Okta 是合作伙伴 IdP,因此可以使用适用于 Enterprise Managed Users 的 Okta 应用程序来简化身份验证和预配配置。 有关详细信息,请参阅“关于 Enterprise Managed Users”。
或者,如果只想将 Okta 用于 SAML 身份验证,并且想要使用不同的 IdP 进行预配,则可以与 GitHub 的 SCIM REST API 集成。 有关详细信息,请参阅“使用 REST API 通过 SCIM 预配用户和组”。
受支持的功能
Enterprise Managed Users 支持 Okta 的以下预配功能。
Feature | 说明 |
---|---|
推送新用户 | 在 Okta 中分配给 GitHub Enterprise Managed User应用程序的用户将在 GitHub Enterprise Cloud 上的企业中自动创建。 |
推送配置文件更新 | 对 Okta 中的用户配置文件所做的更新将被推送到 GitHub Enterprise Cloud。 |
推送组 | Okta 中的组将分配给 GitHub Enterprise Managed User应用程序作为推送组,并在 GitHub Enterprise Cloud 上的企业中自动创建。 |
推送用户停用 | 在 Okta 中,从 GitHub Enterprise Managed User应用程序中取消分配用户将在 GitHub Enterprise Cloud 上禁用该用户。 用户将无法登录,但会保留用户的信息。 |
重新激活用户 | Okta 中已重新激活其 Okta 帐户并将分配回 GitHub Enterprise Managed User应用程序的 Okta 用户将启用。 |
Note
Enterprise Managed Users 不支持修改用户名。
先决条件
如果要为新企业配置 SCIM 预配,请确保完成初始配置过程中的所有先前步骤。 请参阅“Enterprise Managed Users 入门”。
此外:
- 必须使用 Okta 的应用程序进行身份验证和预配。
- Okta 产品必须支持跨域身份管理系统 (SCIM)。 有关详细信息,请查看 Okta 的文档或联系 Okta 的支持团队。
配置 SCIM
在 Okta 应用中配置 SAML 设置后,可以继续配置预配设置。 如果尚未配置 SAML 设置,请参阅“使用 Okta 为企业托管用户配置 SAML 单一登录”。
要配置预配,用户名为 @SHORT-CODE_admin 的设置用户将需要提供 scim:enterprise 范围的 personal access token (classic)。 请参阅“Enterprise Managed Users 入门”。
-
导航到 Okta 上的 GitHub Enterprise Managed User 应用程序。
-
单击 资源调配 选项卡。
-
在“设置”菜单中,单击“集成”。
-
若要进行更改,请单击“编辑”。
-
单击“配置 API 集成”****。
-
在“API 令牌”字段中,输入属于设置用户的 personal access token (classic)。
Note
GitHub 不支持“导入组”。 选择或取消选择复选框对你的配置没有影响。
-
单击“测试 API 凭据”。 如果测试成功,屏幕顶部将显示一条验证消息。
-
若要保存令牌,请单击“保存”。
-
在“设置”菜单中,单击“转到应用”。
-
在“预配到应用”的右侧,要允许进行更改,请单击“编辑”。
-
在“创建用户”、“更新用户属性”和“停用用户”的右侧,选择“启用” 。
-
若要完成配置预配,请单击“保存”。
如何分配用户和组?
配置身份验证和预配后,可以通过将用户或组分配到 GitHub Enterprise Managed User 应用程序来在 GitHub 上预配新用户。
Note
为避免超过 GitHub Enterprise Cloud 的速率限制,每小时为 IdP 上的 SCIM 集成分配的用户不要超过 1,000 个。 如果使用组将用户分配到 IdP 应用程序,则每小时向每个组添加的用户不要超过 1,000 个。 如果超出这些阈值,预配用户的尝试可能会失败并出现“速率限制”错误。 可以查看 IdP 日志,确认尝试的 SCIM 预配或推送操作是否由于速率限制错误而失败。 对失败的预配尝试的响应将取决于 IdP。 有关详细信息,请参阅“排除企业的标识和访问管理故障”。
还可以通过将组添加到 Okta 中的“推送组”选项卡来自动管理组织成员身份。 成功预配组后,该组将可用于连接到企业组织中的团队。 有关管理团队的详细信息,请参阅“使用标识提供者组管理团队成员身份”。
在分配用户时,可以使用 IdP 上的应用程序中的“角色”属性在 GitHub Enterprise Cloud 上设置用户在企业中的角色。 有关可分配的角色的详细信息,请参阅“企业中的角色”。
Note
只能为单个用户(而不是组)设置“Roles”属性。 如果要为 Okta 中分配给应用程序的组中的每个人设置角色,则必须单独为每个组成员使用“角色”属性。
如何取消预配用户和组?
若要从 GitHub Enterprise Cloud 中删除用户或组,请从 Okta 的“分配”选项卡和“推送组”选项卡中删除用户或组。 对于用户,请确保从“推送组”选项卡中的所有组中删除该用户。