关于使用 Enterprise Managed Users 的团队管理
使用 Enterprise Managed Users,可以通过将 GitHub 团队与 IdP 组连接起来,通过 IdP 管理企业内的团队和组织成员身份。 将某个企业组织中的团队连接到 IdP 组时,IdP 组对成员身份的更改会自动反映在企业中,从而减少手动更新和自定义脚本的需要。
当 IdP 组的更改或新的团队连接导致 托管用户帐户 加入他们尚未加入的组织中的团队时,托管用户帐户 将自动添加到组织中。 当你断开组与团队的连接时,如果未通过任何其他方式为其分配组织成员身份,则通过团队成员身份成为组织成员的用户将从组织中删除。
注意:组织所有者也可以手动将 托管用户帐户 添加到组织,只要帐户已通过 SCIM 进行预配。
当 Idp 上的组成员身份发生变化时,你的 IdP 会根据 IdP 确定的时间表发送 SCIM 请求,其中包含对 GitHub.com 的更改,因此更改可能不会立即发生。 任何更改团队或组织成员身份的请求都将在审核日志中注册为用于配置用户预配的帐户所做的更改。
连接到 IdP 组的团队不能是其他团队的父级,也不能是另一个团队的子级。 如果要连接到 IdP 组的团队是父团队或子团队,建议创建一个新团队或删除使你的团队成为父团队的嵌套关系。
若要管理企业中任何团队(包括连接到 IdP 组的团队)的存储库访问权限,必须对 GitHub.com 进行更改。 有关详细信息,请参阅“管理团队对组织仓库的访问”。
将 IdP 组与团队连接的要求
在将 IdP 组与 GitHub 上的团队连接之前,必须将该组分配给 IdP 中的 GitHub Enterprise Managed User 应用程序。 有关详细信息,请参阅“为 Enterprise Managed User 配置 SCIM 预配”。
可以将企业中的团队连接到一个 IdP 组。 可以将同一 IdP 组分配给企业中的多个团队。
如果要将现有团队连接到 IdP 组,必须先删除手动添加的任何成员。 将企业中的团队连接到 IdP 组后,IdP 管理员必须通过标识提供者更改团队成员身份。 无法在 GitHub.com 上管理团队成员身份。
如果使用 Azure AD 作为 IdP,则只能将团队连接到安全组。 不支持嵌套的组成员身份和 Microsoft 365 组。
创建连接到 IdP 组的新团队
组织的任何成员都可以创建新团队并将团队连接到 IdP 组。
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。
-
在页面顶部,单击“新建团队”。 1. 在“Create new team(创建新团队)”下,输入新团队的名称。 1. (可选)在“Description(描述)”字段中输入团队的描述。
-
若要连接团队,请在“标识提供者组”下,选择“选择组”下拉菜单,然后单击要连接的团队。
-
在“团队可见性”下,选择团队的可见性。 1. 单击“创建团队”。
管理现有团队和 IdP 组之间的连接
组织所有者和团队维护者可以管理 IdP 组和团队之间的现有连接。
注意:在首次将 GitHub.com 上的现有团队连接到 IdP 组之前,必须先删除 GitHub.com 上的所有团队成员。 有关详细信息,请参阅“从团队中删除组织成员”。
-
在 GitHub.com 的右上角,单击你的头像照片,然后单击“你的个人资料”。
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。
-
单击团队的名称。 1. 在团队页面顶部,单击 “设置”。
-
(可选)在“标识提供者组”下,单击要断开连接的 IdP 组右侧的 。
-
若要连接 IdP 组,请在“标识提供者组”下选择下拉菜单,然后从列表中单击标识提供者组。
-
单击“保存更改”。
查看 IdP 组、组成员身份和连接的团队
可以查看 IdP 组列表,查看连接到 IdP 组的任何团队,并在 GitHub Enterprise Cloud 上查看每个 IdP 组的成员身份。 必须在 IdP 上编辑组的成员身份。
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的企业”。
-
在企业列表中,单击您想要查看的企业。
-
若要查看 IdP 组列表,请在左侧边栏中单击 “标识提供者”。
-
若要查看连接到 IdP 组的成员和团队,请单击该组的名称。
-
若要查看连接到 IdP 组的团队,请单击“团队”。
