Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

使用 Azure AD 为企业配置身份验证和预配

可以使用 Azure Active Directory (Azure AD) 中的租户作为标识提供者 (IdP) 来集中管理your GitHub Enterprise Server instance的身份验证和用户预配。

Who can use this feature

Enterprise owners can configure authentication and provisioning for an enterprise on GitHub Enterprise Server.

关于使用 Azure AD 进行身份验证和用户预配

Azure Active Directory (Azure AD) 是一项来自 Microsoft 的服务,它允许您集中管理用户帐户和 web 应用程序访问。 有关详细信息,请参阅 Microsoft Docs 中的什么是 Azure Active Directory?

在 GitHub Enterprise Server 上使用 IdP for IAM 时,SAML SSO 会控制并保护对企业资源(如存储库、问题和拉取请求)的访问。 对 IdP 进行更改时,SCIM 会自动创建用户帐户并管理对 your GitHub Enterprise Server instance 的访问权限。 还可以将 GitHub Enterprise Server 上的团队与 IdP 上的组同步。 有关详细信息,请参阅以下文章。

注意:GitHub Enterprise Server 的 SCIM 目前为专用 beta 版本,可能会随时更改。 要访问 beta 版本,请通过 GitHub's Sales team 联系帐户管理员。 请在 GitHub 社区讨论中提供反馈。

警告:beta 版本仅供测试和反馈,不提供支持。 GitHub 建议使用暂存实例进行测试。 有关详细信息,请参阅“设置暂存实例”。

使用 Azure AD 对 GitHub Enterprise Server 启用 SAML SSO 和 SCIM 后,你可以从 Azure AD 租户完成以下任务。

  • 将 Azure AD 上的 GitHub Enterprise Server 应用程序分配给用户帐户,以便在 GitHub Enterprise Server 上自动创建并授予对相应用户帐户的访问权限。
  • 为 Azure AD 上的用户帐户取消分配 GitHub Enterprise Server 应用程序,以便在 GitHub Enterprise Server 上停用相应的用户帐户。
  • 为 Azure AD 上的 IdP 组分配 GitHub Enterprise Server 应用程序,以便为 IdP 组的所有成员自动创建并授予对 GitHub Enterprise Server 上用户帐户的访问权限。 此外,IdP 组也可以在 GitHub Enterprise Server 上连接到团队及其父组织。
  • 从 IdP 组取消分配 GitHub Enterprise Server 应用程序来停用仅通过该 IdP 组访问的所有 IdP 用户的 GitHub Enterprise Server 用户帐户,并从父组织中删除这些用户。 IdP 组将与 GitHub Enterprise Server 上的任何团队断开连接。

有关在your GitHub Enterprise Server instance上管理企业的身份验证和访问控制的详细信息,请参阅“管理企业的身份验证和访问控制”。

先决条件

使用 Azure AD 配置身份验证和用户预配

  1. 为 your GitHub Enterprise Server instance 配置 SAML SSO。 有关详细信息,请参阅“为企业配置 SAML 单一登录”。
  2. 使用 SCIM 为实例配置用户预配。 有关详细信息,请参阅“使用 SCIM 为企业配置用户预配”。

管理企业所有者

使某一人员成为企业所有者的步骤取决于你是仅使用 SAML 还是同时也使用 SCIM。 有关企业所有者的详细信息,请参阅“企业中的角色”。

如果配置了预配,要向用户授予 GitHub Enterprise Server 中的企业所有权,请在 Azure AD 中为用户分配企业所有者角色。

如果未配置预配,要向用户授予 GitHub Enterprise Server 中的企业所有权,请在 IdP 上的用户帐户的 SAML 断言中包含 administrator 属性,其值为 true。 有关在 Azure AD 的 SAML 声明中包含 administrator 属性的详细信息,请参阅 Microsoft Docs 中的如何:为企业应用程序自定义 SAML 令牌中颁发的声明