Skip to main content

使用标识提供者组管理团队成员身份

Connect IdP groups with teams on GitHub to manage team and organization membership through your identity provider.

Note

GitHub Enterprise Server 的 SCIM 目前为 beta 版本,可能随时更改。 GitHub 建议首先使用暂存实例进行测试。 请参阅“设置暂存实例”。

关于使用 SCIM 进行团队管理

如果配置了 SCIM 预配,则可以将 GitHub 中的团队与 IdP 中的组连接起来,通过 IdP 管理企业内的团队和组织成员身份。 将某个企业组织中的团队连接到 IdP 组时,IdP 组对成员身份的更改会自动反映在企业中,从而减少手动更新和自定义脚本的需要。

当 IdP 组的更改或新的团队连接导致用户加入他们尚未成为其成员的组织中的团队时,用户将自动添加到该组织中。 当你断开组与团队的连接时,如果未通过任何其他方式为其分配组织成员身份,则通过团队成员身份成为组织成员的用户将从组织中删除。

Note

组织所有者也可以手动将用户添加到组织,只要帐户已通过 SCIM 进行预配。

当 Idp 上的组成员身份发生变化时,你的 IdP 会根据 IdP 确定的时间表发送 SCIM 请求,其中包含对 GitHub 的更改,因此更改可能不会立即发生。 任何更改团队或组织成员身份的请求都将在审核日志中注册为用于配置用户预配的帐户所做的更改。

GitHub 还每天运行一次对帐作业,根据以前通过 SCIM 从 IdP 发送的信息,将团队成员身份与存储在 GitHub 上的 IdP 组成员身份同步。 如果此作业发现用户是企业中 IdP 组的成员,但不是映射团队或其组织的成员,则作业将尝试将该用户添加到组织和团队。

连接到 IdP 组的团队不能是其他团队的父级,也不能是另一个团队的子级。 如果要连接到 IdP 组的团队是父团队或子团队,建议创建一个新团队或删除使你的团队成为父团队的嵌套关系。

要管理企业中任何团队(包括连接到 IdP 组的团队)的存储库访问权限,必须对 GitHub 进行更改。 有关详细信息,请参阅“管理团队对组织仓库的访问”。

将 IdP 组与团队连接的要求

在将 IdP 组与 GitHub 上的团队连接之前,必须将该组分配给 IdP 中的 相关应用程序。 有关详细信息,请参阅“配置 SCIM 预配以管理用户”。

可以将企业中的团队连接到一个 IdP 组。 可以将同一 IdP 组分配给企业中的多个团队。

如果要将现有团队连接到 IdP 组,必须先删除手动添加的任何成员。 将企业中的团队连接到 IdP 组后,IdP 管理员必须通过标识提供者更改团队成员身份。 无法在 GitHub 上直接管理团队成员身份。

如果使用 Microsoft Entra ID(以前称为 Entra ID)作为 IdP,则只能将团队连接到安全组。 不支持嵌套的组成员身份和 Microsoft 365 组。

创建连接到 IdP 组的新团队

组织的任何成员都可以创建新团队并将团队连接到 IdP 组。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击“你的组织”。

  2. 单击您的组织名称。

  3. 在组织名称下,单击 “团队”。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 在页面顶部,单击“新建团队”。

  5. 在“Create new team(创建新团队)”下,输入新团队的名称。

  6. (可选)在“Description(描述)”字段中输入团队的描述。

  7. 若要连接团队,请在“标识提供者组”下,选择“选择组”下拉菜单,然后单击要连接的团队。

  8. 在“团队可见性”下,选择团队的可见性。

  9. 单击“创建团队”。

管理现有团队和 IdP 组之间的连接

组织所有者和团队维护者可以管理 IdP 组和团队之间的现有连接。

Note

在首次将 GitHub 上的现有团队连接到 IdP 组之前,必须先删除 GitHub 上的所有团队成员。 有关详细信息,请参阅“从团队中删除组织成员”。

  1. 在 GitHub 的右上角,单击个人资料照片,然后单击“你的个人资料”。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的个人资料”用深橙色框出。

  2. 在 GitHub 的右上角,选择个人资料照片,然后单击“你的组织”。

  3. 在组织名称下,单击 “团队”。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 单击团队的名称。

  5. 在团队页面顶部,单击 “设置”。

    团队页标题的屏幕截图。 标有齿轮图标和“设置”的选项卡用深橙色标出。

  6. (可选)在“标识提供者组”下,单击要断开连接的 IdP 组右侧的

    从 GitHub 团队取消选择已连接的 IdP 组。

  7. 若要连接 IdP 组,请在“标识提供者组”下选择下拉菜单,然后从列表中单击标识提供者组。

    用于选择标识提供者组的下拉菜单。

  8. 单击“保存更改”。

查看 IdP 组、组成员身份和连接的团队

企业所有者可以查看 IdP 组、每个组的成员身份以及连接到每个组的任何团队的列表。 此视图中列出的 IdP 组和成员身份基于通过 SCIM 从 IdP 发送到 GitHub 的信息。 必须在 IdP 上编辑组的成员身份。

  1. 在 GitHub Enterprise Server 的右上角,单击你的个人资料照片,然后单击“企业设置”****。

    单击 GitHub Enterprise Server 上的个人资料照片时显示的下拉菜单的屏幕截图。 “企业设置”选项以深橙色边框突出显示。

  2. 若要查看 IdP 组列表,请在左侧边栏中单击 “标识提供者”。

  3. 若要查看连接到 IdP 组的成员和团队,请单击该组的名称。

    1. 在“Identity provider”下,单击“Groups”********。
  4. 若要查看连接到 IdP 组的团队,请单击“团队”。

如果团队无法与 IdP 上的组同步,团队会显示错误。 有关详细信息,请参阅“解决团队成员资格在标识提供者组中遇到的问题”。

从组织中删除成员

将成员添加到企业拥有的组织的方式决定了必须如何从组织中删除他们。

  • 如果将成员手动添加到组织,则必须手动将其删除。 从 IdP 上的 相关应用程序中取消分配他们将暂停用户,但不会将其从组织中删除。
  • 如果用户由于被添加到 IdP 组而成为该组织的成员,则从与组织关联的_所有_映射的 IdP 组中将其删除

要了解成员是如何添加到组织中的,可以按类型筛选成员列表。 请参阅“查看企业中的人员”。