GitHub 将团队与身份提供程序组同步
您可以将 GitHub 团队与身份提供程序 (IdP) 组同步,以自动添加和删除团队成员。
组织所有者和团队维护员可将 GitHub 团队与 IdP 组同步。
团队同步可用于使用的 GitHub Enterprise Cloud 的组织和企业帐户。 更多信息请参阅“GitHub 的产品”。
注:与 Okta 的团队同步目前处于测试阶段,可能会有变更。
关于团队同步
当您将 GitHub 团队与 IdP 组同步时,IdP 组的变更将自动反映在 GitHub 上,从而减少对手动更新和自定义脚本的需求。 您可以使用 IdP 与团队同步来管理一系列管理任务,如新成员登记、为组织内的调动授予新权限及删除成员对组织的访问权限。
您最多可以将五个 IdP 组连接到 GitHub 团队。 IdP 组可以不受限制地分配给多个 GitHub 团队。
GitHub 团队连接到 IdP 组后,您的 IdP 管理员必须通过身份提供程序进行团队成员资格更改。 您无法在 GitHub 上或使用 API 管理团队成员资格。
通过 IdP 进行的所有团队成员资格更改都将在 GitHub 审核日志中显示为团队同步自动程序所进行的更改。 您的 IdP 会将团队成员数据发送至 GitHub,每小时一次。 将团队连接到 IdP 组可能会删除一些团队成员。 更多信息请参阅“已同步团队成员的要求”。
父团队无法与 IdP 组同步。 如果要连接到 IdP 组的团队是父团队,我们建议您创建一个新团队或删除使团队成为父团队的嵌套关系。 更多信息请参阅“关于团队”、“创建团队”和“在组织的层次结构中移动团队”。
要管理 GitHub 团队(包括连接到 IdP 组的团队)的仓库访问权限,您必须使用 GitHub 进行更改。 更多信息请参阅“关于团队”和“管理团队对组织仓库的访问”。
您还可以使用 API 管理团队同步。 更多信息请参阅“团队同步”。
已同步团队成员的要求
将团队连接到 IdP 组后,如果团队成员继续在 GitHub 上使用 SAML SSO 验证相同的 SSO 身份,并且仍然是所连接 IdP 组的成员,则每个团队成员的成员资格数据都会同步。
现有团队或组成员可能会自动从 GitHub 上的团队中删除。 未使用 SSO 向组织或企业帐户验证的任何现有团队或组成员都可能会失去对仓库的访问权限。 未在所连接 IdP 组中的任何现有团队或组成员都可能会失去对仓库的访问权限。
删除后的团队成员在使用 SSO 向组织或企业帐户进行身份验证后可以自动添加回团队,并移动到已连接的 IdP 组。
为避免无意中删除团队成员,建议在组织或企业帐户中强制实施 SAML SSO,创建新团队以同步成员资格数据,并在同步现有团队之前检查 IdP 组成员资格。 更多信息请参阅“对组织实施 SAML 单点登录”。
如果您的组织由企业帐户拥有,则对企业帐户启用团队同步将覆盖组织级的团队同步设置。 更多信息请参阅“在企业帐户中实施安全设置”。
基本要求
在将团队连接到身份提供程序组之前,组织或企业所有者必须为组织或企业帐户启用团队同步。 更多信息请参阅“管理组织的团队同步”和“在企业帐户中实施安全设置”。
为避免无意中删除团队成员,请访问 IdP 的管理门户,并确认每个当前团队成员也位于要连接到此团队的 IdP 组中。 如果您没有身份提供程序的这一访问权限,在可以联系 IdP 管理员。
您必须使用 SAML SSO 进行身份验证。 更多信息请参阅“使用 SAML 单点登录进行身份验证”。
将 IdP 组连接到团队
- 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)。
- 在您的个人资料页面左侧的“Organizations(组织)”下,单击组织的图标。
- 在组织名称下,单击 Teams(团队)。
- 在 Teams(团队)选项卡上,单击团队名称。
- 在团队页面顶部,单击 Settings(设置)。
- 在“Identity Provider Groups(身份提供程序组)”下,使用下拉菜单,选择最多 5 个身份提供程序组。
- 单击 Save changes(保存更改)。
断开 IdP 组与团队的连接
如果您断开 IdP 组与 GitHub 团队的连接,则通过 IdP 组分配给 GitHub 团队的团队成员将从团队中删除。
- 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)。
- 在您的个人资料页面左侧的“Organizations(组织)”下,单击组织的图标。
- 在组织名称下,单击 Teams(团队)。
- 在 Teams(团队)选项卡上,单击团队名称。
- 在团队页面顶部,单击 Settings(设置)。
- 在“Identity Provider Groups(身份提供程序组)”下,单击要断开连接的 IdP 组右侧的 。
- 单击 Save changes(保存更改)。