关于使用 Entra ID 进行身份验证和用户预配
Microsoft Entra ID(以前称为 Azure AD)是 Microsoft 提供的一项的服务,让你可以集中管理用户帐户以及对 Web 应用程序的访问。 有关详细信息,请参阅 Microsoft Docs 中的什么是 Microsoft Entra ID?。
在 GitHub Enterprise Server 上使用 IdP for IAM 时,SAML SSO 会控制并保护对企业资源(如存储库、问题和拉取请求)的访问。 对 IdP 进行更改时,SCIM 会自动创建用户帐户并管理对 你的 GitHub Enterprise Server 实例 的访问权限。 还可以将 GitHub Enterprise Server 上的团队与 IdP 上的组同步。 有关详细信息,请参阅以下文章。
注意:GitHub Enterprise Server 的 SCIM 目前为专用 beta 版本,可能会随时更改。 要访问 beta 版本,请通过 GitHub 的销售团队 联系帐户管理员。 可以在 GitHub Community 讨论中提供反馈。
警告:beta 版本仅供测试和反馈,不提供支持。 GitHub 建议使用暂存实例进行测试。 有关详细信息,请参阅“设置暂存实例”。
使用 Entra ID 为 GitHub Enterprise Server 启用 SAML SSO 和 SCIM 后,你可以从 Entra ID 租户完成以下任务。
- 将 Entra ID 上的 GitHub Enterprise Server 应用程序分配给用户帐户,以便在 GitHub Enterprise Server 上自动创建并授予对相应用户帐户的访问权限。
- 为 Entra ID 上的用户帐户取消分配 GitHub Enterprise Server 应用程序,以便在 GitHub Enterprise Server 上停用相应的用户帐户。
- 为 Entra ID 上的 IdP 组分配 GitHub Enterprise Server 应用程序,以便为 IdP 组的所有成员自动创建并授予对 GitHub Enterprise Server 上用户帐户的访问权限。 此外,IdP 组也可以在 GitHub Enterprise Server 上连接到团队及其父组织。
- 从 IdP 组取消分配 GitHub Enterprise Server 应用程序来停用仅通过该 IdP 组访问的所有 IdP 用户的 GitHub Enterprise Server 用户帐户,并从父组织中删除这些用户。 IdP 组将与 GitHub Enterprise Server 上的任何团队断开连接。
有关在 你的 GitHub Enterprise Server 实例 上管理企业的身份验证和访问控制的详细信息,请参阅“将 SAML 用于企业 IAM”。
先决条件
-
要使用 Entra ID 配置 GitHub Enterprise Server 的身份验证和用户预配,必须有 Entra ID 帐户和租户。 有关详细信息,请参阅 Entra ID 网站和 Microsoft Docs 中的快速入门:设置租户。
-
必须为 你的 GitHub Enterprise Server 实例 配置 SAML SSO。 有关详细信息,请参阅“Configuring SAML single sign-on for your enterprise”。
-
必须在 IdP 上创建并使用专用计算机用户帐户,以与 GitHub Enterprise Server 上的一个企业所有者帐户相关联。 将用户帐户的凭据安全地存储在密码管理器中。 有关详细信息,请参阅“使用 SCIM 为企业配置用户预配”。
使用 Entra ID 配置身份验证和用户预配
- 为 你的 GitHub Enterprise Server 实例 配置 SAML SSO。 有关详细信息,请参阅“Configuring SAML single sign-on for your enterprise”。
- 使用 SCIM 为实例配置用户预配。 有关详细信息,请参阅“使用 SCIM 为企业配置用户预配”。
管理企业所有者
使某一人员成为企业所有者的步骤取决于你是仅使用 SAML 还是同时也使用 SCIM。 有关企业所有者的详细信息,请参阅“企业中的角色”。
如果配置了预配,要向用户授予 GitHub Enterprise Server 中的企业所有权,请在 Entra ID 中为用户分配企业所有者角色。
如果未配置预配,要向用户授予 GitHub Enterprise Server 中的企业所有权,请在 IdP 上的用户帐户的 SAML 断言中包含 administrator
属性,其值为 true
。 有关在 Entra ID 的 SAML 声明中包含 administrator
属性的详细信息,请参阅 Microsoft Docs 中的如何:为企业应用程序自定义 SAML 令牌中颁发的声明。