注意:如果企业使用 Enterprise Managed Users,则不需要使用团队同步。 而是可以通过在设置企业时创建的 SCIM 配置来管理团队成员身份。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。
关于团队同步
您可以在 IdP 与 GitHub Enterprise Cloud 之间启用团队同步,以允许组织所有者和团队维护员将组织中的团队与 IdP 组连接起来。
如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。
注意:若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。
您可以将团队同步与受支持的 IdP 一起使用。
- Azure AD 商业租户(不支持政府云)
- Okta
启用团队同步后,团队维护员和组织所有者可在 GitHub 上或通过 API 将团队连接至 IdP 组。 有关详细信息,请参阅“注意:如果企业使用 Enterprise Managed Users,则不需要使用团队同步。 而是可以通过在设置企业时创建的 SCIM 配置来管理团队成员身份。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。”和“Teams”。
还可为企业帐户拥有的所有组织启用团队同步。 如果在企业级别配置 SAML,则无法对单个组织启用团队同步。 而是必须为整个企业配置团队同步。 有关详细信息,请参阅“管理企业中组织的团队同步”。
如果你的组织由企业帐户拥有,则对企业帐户启用团队同步将覆盖组织级的团队同步设置。 有关详细信息,请参阅“管理企业中组织的团队同步”。
使用限制
团队同步功能存在使用限制。 超过这些限制将导致性能下降,并可能导致同步失败。
- GitHub 团队中的成员人数上限:5,000
- GitHub 组织中的成员人数上限:10,000
- GitHub 组织中的团队数上限:1,500
启用团队同步
启用团队同步的步骤取决于想要使用的 IdP。 有些启用团队同步的基本要求适用于每个 IdP。 每个 IdP 都有额外的基本要求。
先决条件
要对任何 IdP 启用团队同步,必须获得对 IdP 的管理访问权限,或与 IdP 管理员合作配置 IdP 集成和组。 配置 IdP 集成和组的人员必须拥有其中一项必要权限。
| IdP | 所需的权限 |
|---|---|
| Azure AD |
|
| Okta |
|
您必须为您的组织和支持的 IdP 启用 SAML 单点登录。 有关详细信息,请参阅“实施组织的 SAML 单点登录”。
您必须具有链接的 SAML 身份。 要创建链接身份,您必须至少使用 SAML SSO 和支持的 IdP 向您的组织进行身份验证一次。 有关详细信息,请参阅“使用 SAML 单点登录进行身份验证”。
注意:若要确保团队同步能够正常工作,SAML 设置必须包含“证书颁发者”字段的有效 IdP URL。 有关详细信息,请参阅“为组织启用和测试 SAML 单一登录”。
为 Azure AD 启用团队同步
要为 Azure AD 启用团队同步,Azure AD 安装需要以下权限:
- 读取所有用户的完整配置文件
- 登录并读取用户配置文件
- 读取目录数据
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。
-
在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
-
确认是否组织启用了 SAML SSO。 有关详细信息,请参阅“管理组织的 SAML 单点登录”。 1. 在“团队同步”下,单击“为 Azure AD 启用”。 5. 确认团队同步。
- 如果你具有 IdP 访问权限,请单击“启用团队同步”。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
- 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。
-
查看要与组织连接的标识提供者租户信息,然后单击“批准”。
为 Okta 启用团队同步
Okta 团队同步要求已为您的组织设置了具有 Okta 的 SAML 和 SCIM。
为避免与 Okta 发生潜在的团队同步错误,我们建议您先确认已为属于所选 Okta 组成员的所有组织成员正确设置了 SCIM 链接身份,然后再在 GitHub 上启用团队同步。
如果组织成员没有链接的 SCIM 身份,则团队同步将无法按预期工作,并且可能不会按预期在团队中添加或删除用户。 如果这些用户中的任何一个缺少 SCIM 链接身份,则需要重新预配它们。
有关预配缺少 SCIM 链接标识的用户的帮助,请参阅“排除组织的标识和访问管理故障”。
对 Okta 启用团队同步之前,你或你的 IdP 管理员必须:
- 使用 Okta 为组织配置 SAML、SSO 和 SCIM 集成。 有关详细信息,请参阅“使用 Octa 配置 SAML 单个登录和 SCIM”。
- 提供 Okta 实例的租户 URL。
- 为 Okta 安装(作为服务用户)生成具有只读管理员权限的有效 SSWS 令牌。 有关详细信息,请参阅 Okta 文档中的创建令牌和服务用户。
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。
-
在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
-
确认是否组织启用了 SAML SSO。 有关详细信息,请参阅“管理组织的 SAML 单点登录”。 1. 建议确认用户是否已启用 SAML 并具有关联的 SCIM 标识,以避免潜在的预配错误。 有关详细信息,请参阅“排除组织的标识和访问管理故障”。
-
请考虑在组织中强制实施 SAML,以确保组织成员链接其 SAML 和 SCIM 身份。 有关详细信息,请参阅“实施组织的 SAML 单点登录”。
-
在“团队同步”下,单击“为 Okta 启用”。
-
在组织名称下的“SSWS 令牌”字段中,输入有效的 SSWS 令牌。
-
在“URL”字段中,输入 Okta 实例的 URL。
-
查看要与组织连接的标识提供者租户信息,然后单击“创建”。
禁用团队同步
警告:禁用团队同步后,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能失去存储库访问权限。
-
在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。
-
在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
-
在“团队同步”下,单击“禁用团队同步”。