使用 Enterprise Managed Users,可以从外部身份管理系统或 IdP 管理 GitHub 上的用户的生命周期和身份验证:
- 你的 的 IdP 在 GitHub 上预配新用户帐户,该帐户有权访问企业。
- 用户必须在 IdP 上进行身份验证,才能访问 GitHub 上的企业资源。
- 可以通过 IdP 控制用户名、个人资料数据、组织成员身份和存储库访问权限。
- 如果企业使用 OIDC SSO,GitHub 将使用 IdP 的条件访问策略 (CAP) 验证对企业及其资源的访问。 请参阅“About support for your IdP's Conditional Access Policy”。
- 托管用户帐户 无法在企业外部创建公共内容或进行协作。 请参阅“托管用户帐户的功能和限制”。
Note
Enterprise Managed Users 并不是每名客户的最佳解决方案。 要确定是否适合你的企业,请参阅“为 GitHub Enterprise Cloud 选择企业类型”。
身份管理系统
GitHub 合作伙伴身份管理系统的一些开发人员合作,提供“铺好道路”的 Enterprise Managed Users 集成。 为了简化配置并确保获得全面支持,请使用单个合作伙伴 IdP 进行身份验证和预配。****
合作伙伴标识提供者
合作伙伴 IDP 使用 SAML 或 OIDC 提供身份验证,并提供跨域身份管理系统 (SCIM) 的预配。
| 合作伙伴 IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
使用单个合作伙伴 IdP 进行身份验证和预配时,GitHub 支持合作伙伴 IdP 上的应用程序,还支持与 GitHub 的 IdP 集成。
其他身份管理系统
如果无法使用单个合作伙伴 IdP 进行身份验证和预配,则可使用其他身份管理系统或系统组合。 系统必须:
- 遵循 GitHub 的集成准则
- 使用 SAML 提供身份验证,遵循 SAML 2.0 规范
- 使用 SCIM 提供用户生命周期管理,遵循 SCIM 2.0 规范,并与 GitHub 的 REST API 进行通信(请参阅“使用 REST API 通过 SCIM 预配用户和组”)
Note
使用 GitHub 的公共 SCIM 架构来预配用户为公共 beta 版,可能会发生更改。
GitHub 没有明确支持混合和匹配合作伙伴 IdP 来进行身份验证和预配,而且未测试所有身份管理系统。 GitHub 的支持团队可能无法协助你解决与混合或未测试的系统相关的问题。 如果需要帮助,必须咨询系统的文档、支持团队或其他资源。
用户名和个人资料信息
GitHub 通过规范 IdP 提供的标识符自动为每个开发人员创建用户名。 如果在规范化期间删除标识符的唯一部分,则可能会发生冲突。 请参阅“外部身份验证的用户名注意事项”。
IdP 提供了 托管用户帐户 的个人资料名称和电子邮件地址:
- 托管用户帐户 _无法_更改 GitHub 上的档案名称或电子邮件地址。
- IdP 只能提供一个电子邮件地址。
- 若更改 IdP 中的用户电子邮件地址,会从与用户旧电子邮件地址关联的参与历史记录取消链接用户。
管理角色和访问权限
在 IdP 中,你可以为每个 托管用户帐户 提供企业中的一个角色,例如成员、所有者或来宾协作者。 请参阅“企业中的角色”。
可手动管理组织成员身份(以及存储库访问权限),也可使用 IdP 组自动更新成员身份。 请参阅“使用标识提供者组管理团队成员身份”。
托管用户帐户 的身份验证
托管用户帐户 可向 GitHub 进行身份验证的位置取决于配置身份验证的方式(SAML 或 OIDC)。 请参阅“Enterprise Managed Users 身份验证”。
默认情况下,当未经身份验证的用户尝试访问你的企业时,GitHub 将显示 404 错误。 你可以选择性地启用自动重定向到单一登录 (SSO)。 请参阅“为企业中的安全设置实施策略”。