关于 GitHub Enterprise Cloud 的 IAM
为了控制对你的企业资源的访问,你可以允许用户在 GitHub.com 上使用个人帐户,并且有选择地配置其他 SAML 访问限制,也可以通过 Enterprise Managed Users 使用标识提供者 (IdP) 来预配和控制你的企业的帐户。
详细了解每个选项的身份验证和预配后,要确定哪种方法最适合你的企业,请参阅“为 GitHub Enterprise Cloud 选择企业类型”。
身份验证方法
在 GitHub Enterprise Cloud 上创建企业时,可以决定用户如何进行身份验证以访问 GitHub.com 上的资源,以及控制用户帐户的人员。
通过 GitHub.com 进行身份验证
仅通过 GitHub.com 进行身份验证时,你想要授予企业访问权限的每个人都必须在 GitHub.com 上创建和管理个人帐户。 授予对企业的访问权限后,成员在 GitHub.com 上登录帐户后方可访问企业资源。 成员管理帐户,并且可以为 GitHub.com 上的其他企业、组织和存储库做出贡献。 有关个人帐户的详细信息,请参阅“在 GitHub 上创建帐户”。
通过 GitHub.com 进行身份验证,并具有其他 SAML 访问限制
如果配置其他 SAML 访问限制,你想要授予企业访问权限的每个人都必须在 GitHub.com 上创建和管理个人帐户。 你授予对企业的访问权限后,只有在 GitHub.com 上的帐户和 SAML 标识提供者 (IdP) 上的帐户成功进行身份验证后,成员才能访问企业资源。 成员可以使用其个人帐户为 GitHub.com 上的其他企业、组织和存储库做出贡献。 有关要求对所有企业资源访问进行 SAML 身份验证的详细信息,请参阅“关于企业 IAM 的 SAML”。
可选择在企业级别配置 SAML(将同一 SAML 配置应用于企业中的所有组织),或者为单个组织单独配置 SAML。 有关详细信息,请参阅“决定是为企业还是组织配置 SAML”。
使用 Enterprise Managed Users 和联合方法进行身份验证
如果需要对 GitHub 上的企业成员的帐户进行更多控制,可以使用 Enterprise Managed Users。 使用 Enterprise Managed Users 时,可以使用 IdP 在 GitHub 上为企业成员预配和管理帐户。 每个成员会登录到你创建的帐户,由企业管理该帐户。 对 GitHub.com 的其余部分的贡献受到限制。 有关详细信息,请参阅“关于 Enterprise Managed Users”。
关于预配
如果通过 GitHub.com 进行身份验证,并具有其他 SAML 访问限制,则用户可在 GitHub.com 上创建个人帐户,并且可以授予这些个人帐户对企业中的资源的访问权限。 未预配帐户。
或者,如果使用 Enterprise Managed Users,则必须将 IdP 配置为使用跨域身份管理系统 (SCIM) 在 GitHub.com 上预配企业中的用户帐户。 有关详细信息,请参阅“About identity and access management”。
关于支持的 IdP
如果选择使用 GitHub.com 上的个人帐户来创建企业,则可以使用符合 SAML 2.0 标准的外部身份管理系统,配置其他的身份验证。 此外,GitHub 还正式支持一些身份管理系统,并进行了相关测试。 有关详细信息,请参阅“为企业配置 SAML 单点登录”。
GitHub 合作伙伴与身份管理系统的一些开发人员合作,提供与 Enterprise Managed Users 的“铺好道路”集成。 为了简化配置并确保获得全面支持,请使用单个合作伙伴 IdP 进行身份验证和预配。****如果使用合作伙伴标识提供程序 (IdP),则可在 IdP 上配置一个应用程序,以提供身份验证和预配。 IdP 必须支持 SAML 2.0 标准。 或者,如果使用 Entra ID(以前称为 Azure AD),则可配置 OpenID Connect (OIDC) 身份验证。 如果不使用合作伙伴 IdP,或者仅使用合作伙伴 IdP 进行身份验证,则可以集成实施 SAML 2.0 和跨域身份管理系统 (SCIM) 2.0 标准的 IdP。 有关详细信息,请参阅“关于 Enterprise Managed Users”。