Skip to main content
我们经常发布文档更新,此页面的翻译可能仍在进行中。 有关最新信息,请访问英语文档

管理组织中的团队同步

您可以在身份提供程序 (IdP) 与 GitHub Enterprise Cloud 上的组织之间启用和禁用团队同步。

谁可以使用此功能

Organization owners can manage team synchronization for an organization.

注意:如果企业使用 Enterprise Managed Users,则不需要使用团队同步。 而是可以通过在设置企业时创建的 SCIM 配置来管理团队成员身份。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。

关于团队同步

您可以在 IdP 与 GitHub Enterprise Cloud 之间启用团队同步,以允许组织所有者和团队维护员将组织中的团队与 IdP 组连接起来。

如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。

注意:若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。

您可以将团队同步与受支持的 IdP 一起使用。

  • Azure AD 商业租户(不支持政府云)
  • Okta

启用团队同步后,团队维护员和组织所有者可在 GitHub 上或通过 API 将团队连接至 IdP 组。 有关详细信息,请参阅“注意:如果企业使用 Enterprise Managed Users,则不需要使用团队同步。 而是可以通过在设置企业时创建的 SCIM 配置来管理团队成员身份。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。”和“Teams”。

还可为企业帐户拥有的所有组织启用团队同步。 如果在企业级别配置 SAML,则无法对单个组织启用团队同步。 而是必须为整个企业配置团队同步。 有关详细信息,请参阅“管理企业中组织的团队同步”。

如果你的组织由企业帐户拥有,则对企业帐户启用团队同步将覆盖组织级的团队同步设置。 有关详细信息,请参阅“管理企业中组织的团队同步”。

使用限制

团队同步功能存在使用限制。 超过这些限制将导致性能下降,并可能导致同步失败。

  • GitHub 团队中的成员人数上限:5,000
  • GitHub 组织中的成员人数上限:10,000
  • GitHub 组织中的团队数上限:1,500

启用团队同步

启用团队同步的步骤取决于想要使用的 IdP。 有些启用团队同步的基本要求适用于每个 IdP。 每个 IdP 都有额外的基本要求。

先决条件

要对任何 IdP 启用团队同步,必须获得对 IdP 的管理访问权限,或与 IdP 管理员合作配置 IdP 集成和组。 配置 IdP 集成和组的人员必须拥有其中一项必要权限。

IdP所需的权限
Azure AD
  • 全局管理员
  • 特权角色管理员
Okta
  • 具有只读管理员权限的服务用户

您必须为您的组织和支持的 IdP 启用 SAML 单点登录。 有关详细信息,请参阅“实施组织的 SAML 单点登录”。

您必须具有链接的 SAML 身份。 要创建链接身份,您必须至少使用 SAML SSO 和支持的 IdP 向您的组织进行身份验证一次。 有关详细信息,请参阅“使用 SAML 单点登录进行身份验证”。

注意:若要确保团队同步能够正常工作,SAML 设置必须包含“证书颁发者”字段的有效 IdP URL。 有关详细信息,请参阅“为组织启用和测试 SAML 单一登录”。

为 Azure AD 启用团队同步

要为 Azure AD 启用团队同步,Azure AD 安装需要以下权限:

  • 读取所有用户的完整配置文件
  • 登录并读取用户配置文件
  • 读取目录数据
  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。 2. 在组织旁边,单击“设置”。

    “octo-org”组织的屏幕截图,其中用深橙色边框突出显示了“设置”按钮。

  2. 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。

  3. 确认是否组织启用了 SAML SSO。 有关详细信息,请参阅“管理组织的 SAML 单点登录”。 1. 在“团队同步”下,单击“为 Azure AD 启用”。 5. 确认团队同步。

    • 如果你具有 IdP 访问权限,请单击“启用团队同步”。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
    • 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。
  4. 查看要与组织连接的标识提供者租户信息,然后单击“批准”。

为 Okta 启用团队同步

Okta 团队同步要求已为您的组织设置了具有 Okta 的 SAML 和 SCIM。

为避免与 Okta 发生潜在的团队同步错误,我们建议您先确认已为属于所选 Okta 组成员的所有组织成员正确设置了 SCIM 链接身份,然后再在 GitHub 上启用团队同步。

如果组织成员没有链接的 SCIM 身份,则团队同步将无法按预期工作,并且可能不会按预期在团队中添加或删除用户。 如果这些用户中的任何一个缺少 SCIM 链接身份,则需要重新预配它们。

有关预配缺少 SCIM 链接标识的用户的帮助,请参阅“排除组织的标识和访问管理故障”。

对 Okta 启用团队同步之前,你或你的 IdP 管理员必须:

  • 使用 Okta 为组织配置 SAML、SSO 和 SCIM 集成。 有关详细信息,请参阅“使用 Octa 配置 SAML 单个登录和 SCIM”。
  • 提供 Okta 实例的租户 URL。
  • 为 Okta 安装(作为服务用户)生成具有只读管理员权限的有效 SSWS 令牌。 有关详细信息,请参阅 Okta 文档中的创建令牌服务用户
  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。 2. 在组织旁边,单击“设置”。

    “octo-org”组织的屏幕截图,其中用深橙色边框突出显示了“设置”按钮。

  2. 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。

  3. 确认是否组织启用了 SAML SSO。 有关详细信息,请参阅“管理组织的 SAML 单点登录”。 1. 建议确认用户是否已启用 SAML 并具有关联的 SCIM 标识,以避免潜在的预配错误。 有关详细信息,请参阅“排除组织的标识和访问管理故障”。

  4. 请考虑在组织中强制实施 SAML,以确保组织成员链接其 SAML 和 SCIM 身份。 有关详细信息,请参阅“实施组织的 SAML 单点登录”。

  5. 在“团队同步”下,单击“为 Okta 启用”。

  6. 在组织名称下的“SSWS 令牌”字段中,输入有效的 SSWS 令牌。

  7. 在“URL”字段中,输入 Okta 实例的 URL。

  8. 查看要与组织连接的标识提供者租户信息,然后单击“创建”。

禁用团队同步

警告:禁用团队同步后,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能失去存储库访问权限。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。 2. 在组织旁边,单击“设置”。

    “octo-org”组织的屏幕截图,其中用深橙色边框突出显示了“设置”按钮。

  2. 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。

  3. 在“团队同步”下,单击“禁用团队同步”。