将团队与身份提供程序组同步

本文内容

你可以将 GitHub Enterprise Cloud 团队与支持的标识提供者 (IdP) 组同步,以自动添加和删除团队成员。

谁可以使用此功能

Organization owners and team maintainers can synchronize a GitHub team with an IdP group.

注意:如果企业使用 Enterprise Managed Users,则不需要使用团队同步。 而是可以通过在设置企业时创建的 SCIM 配置来管理团队成员身份。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。

关于团队同步

如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。 有关详细信息,请参阅“管理组织中的团队同步”和“管理企业中组织的团队同步”。

您可以将最多 5 个 IdP 组连接到 GitHub Enterprise Cloud 团队。 您可以将 IdP 组分配给多个 GitHub Enterprise Cloud 团队。

团队同步不支持超过 5000 个成员的 IdP 组。

GitHub 团队连接到 IdP 组后,您的 IdP 管理员必须通过身份提供程序进行团队成员资格更改。 您不能在 GitHub Enterprise Cloud 上或使用 API 管理团队成员资格。

如果你的组织由企业帐户拥有,则对企业帐户启用团队同步将覆盖组织级的团队同步设置。 有关详细信息,请参阅“管理企业中组织的团队同步”。

团队同步不是用户预配服务,在大多数情况下不会邀请非成员加入组织。 这意味着只有当用户已经是组织成员时,才会成功地将其添加到团队中。 但是,你可以选择允许团队同步来重新邀请以前是组织成员而后来被删除的用户。有关详细信息,请参阅“管理组织中的团队同步”和“管理企业中组织的团队同步”。

通过 IdP 进行的所有团队成员资格更改都将在 GitHub Enterprise Cloud 的审核日志中显示为团队同步机器人所进行的更改。 团队同步将至少每小时从 IdP 提取一次组信息,并将 IdP 组成员身份的任何更改反映到 GitHub Enterprise Cloud中。 将团队连接到 IdP 组可能会删除一些团队成员。 有关详细信息,请参阅“同步团队成员的要求”。

父团队无法与 IdP 组同步。 如果要连接到 IdP 组的团队是父团队,我们建议您创建一个新团队或删除使团队成为父团队的嵌套关系。 有关详细信息,请参阅“关于团队”、“创建团队”和“在组织的层次结构中移动团队”。

要管理 GitHub 团队(包括连接到 IdP 组的团队)的仓库访问权限,您必须使用 GitHub Enterprise Cloud 进行更改。 有关详细信息,请参阅“关于团队”和“管理团队对组织仓库的访问”。

您还可以使用 API 管理团队同步。 有关详细信息,请参阅“Teams”。

已同步团队成员的要求

将团队连接到 IdP 组后,团队同步仅在以下情况下将 IdP 组的每个成员添加到 GitHub Enterprise Cloud 上的相应团队:

  • 如果不允许团队同步邀请非成员加入组织,则此人已是 GitHub Enterprise Cloud 上的组织成员。
  • 此人已使用 GitHub Enterprise Cloud 上的个人帐户登录,并至少一次通过 SAML 单一登录对组织或企业帐户进行了身份验证。
  • 此人的 SSO 身份是 IdP 组的成员。

不符合这些条件的现有团队或组成员将自动从 GitHub Enterprise Cloud 上的团队中删除,并失去对存储库的访问权限。 撤销用户关联的身份也会将用户从映射到 IdP 组的任何团队中删除。 有关详细信息,请参阅“查看和管理成员 SAML 对组织的访问权限”和“查看和管理用户对企业的 SAML 访问”。

删除后的团队成员在使用 SSO 向组织或企业帐户进行身份验证后可以自动添加回团队,并移动到已连接的 IdP 组。

为避免无意中删除团队成员,建议在组织或企业帐户中强制实施 SAML SSO,创建新团队以同步成员资格数据,并在同步现有团队之前检查 IdP 组成员资格。 有关详细信息,请参阅“实施组织的 SAML 单点登录”和“为企业配置 SAML 单点登录”。

先决条件

要将 GitHub Enterprise Cloud 上的团队连接到 IdP 组,必须确保该团队已存在于组织中。 即使已配置 SCIM 预配,在 IdP 中创建组也不会自动在 GitHub Enterprise Cloud 上创建团队。

在连接 GitHub Enterprise Cloud 团队与 IdP 组之前,组织或企业所有者必须为组织或企业帐户启用团队同步。 有关详细信息,请参阅“管理组织中的团队同步”和“管理企业中组织的团队同步”。

为避免无意中删除团队成员,请访问 IdP 的管理门户,并确认每个当前团队成员也位于要连接到此团队的 IdP 组中。 如果您没有身份提供程序的这一访问权限,在可以联系 IdP 管理员。

您必须使用 SAML SSO 进行身份验证。 有关详细信息,请参阅“使用 SAML 单点登录进行身份验证”。

将 IdP 组连接到团队

将 IdP 组连接到 GitHub Enterprise Cloud 团队时,组中的所有用户都会自动添加到团队中。

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。

  2. 单击您的组织名称。

  3. 在组织名称下,单击 “团队”。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 单击团队的名称。

  5. 在团队页面顶部,单击 “设置”。

    团队页标题的屏幕截图。 标有齿轮图标和“设置”的选项卡用深橙色标出。

  6. 在“标识提供者组”下,选择“选择组”下拉菜单并单击最多 5 个标识提供者组。

  7. 单击“保存更改”。

断开 IdP 组与团队的连接

  1. 在 GitHub.com 的右上角,单击你的个人资料照片,然后单击“你的组织”。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的组织”以深橙色标出。

  2. 单击您的组织名称。

  3. 在组织名称下,单击 “团队”。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 单击团队的名称。

  5. 在团队页面顶部,单击 “设置”。

    团队页标题的屏幕截图。 标有齿轮图标和“设置”的选项卡用深橙色标出。

  6. 在“标识提供者组”下,单击要断开连接的 IdP 组右侧的

  7. 单击“保存更改”。