查看用户的外部身份信息
如果用户无法使用 SAML 成功进行身份验证,则查看链接到 GitHub 上用户帐户的单一登录标识的相关信息可能会很有帮助。 有关详细信息,请参阅“查看和管理用户对企业的 SAML 访问”。
用户名冲突
如果你的企业使用 Enterprise Managed Users,GitHub 会对标识提供者 (IdP) 在 SCIM API 调用中发送的 SCIM userName 属性值进行规范化处理,以便在 GitHub 上创建每个人的用户名。 如果多个帐户被规范化为同一个 GitHub 用户名,则会发生用户名冲突,并且只会创建第一个用户帐户。 有关详细信息,请参阅“外部身份验证的用户名注意事项”。
切换身份验证配置时出错
如果在不同身份验证配置之间切换时遇到问题,例如将 SAML SSO 配置从组织更改为企业帐户或从 SAML 迁移到 Enterprise Managed Users 的 OIDC,请确保遵循更改操作的最佳做法。
当 SSO 不可用时访问企业
当标识提供者 IdP 的配置错误或问题阻止你使用 SSO 时,可以使用恢复代码访问你的企业。 有关详细信息,请参阅“标识提供者不可用时访问企业帐户”。
SCIM 预配错误
为避免超过 GitHub 的速率限制,每小时为 IdP 上的 SCIM 集成分配的用户不要超过 1,000 个。 如果使用组将用户分配到 IdP 应用程序,则每小时向每个组添加的用户不要超过 1,000 个。 如果超出这些阈值,预配用户的尝试可能会失败并出现“速率限制”错误。 可以查看 IdP 日志,确认尝试的 SCIM 预配或推送操作是否由于速率限制错误而失败。 对失败的预配尝试的响应将取决于 IdP。
Microsoft Entra ID(以前称为 Azure AD)将在下一个 Entra ID 同步周期内自动重试 SCIM 预配尝试。 Entra ID 的默认 SCIM 预配间隔为 40 分钟。 有关此重试行为的详细信息,请参阅 Microsoft 文档,如果需要其他协助,也可联系 Microsoft 支持。
Okta 将通过手动 Okta 管理员干预重试失败的 SCIM 预配尝试。 有关 Okta 管理员如何为特定应用程序重试失败任务的详细信息,请参阅 Okta 文档或联系 Okta 支持。
在 具有托管用户的企业 中,SCIM 通常会正常运行,但个别用户的 SCIM 预配尝试有时会失败。 在将帐户预配到 GitHub 之前,用户将无法登录。 这些个别的 SCIM 用户设置失败会导致 HTTP 400 状态代码,通常由用户名规范化或用户名冲突问题引起,也就是企业中已有另一个用户具有相同规范化用户名。 请参阅 外部身份验证的用户名注意事项。
SAML 身份验证错误
如果用户在尝试使用 SAML 进行身份验证时遇到错误,请参阅 SAML 身份验证。