GitHub 管理组织的团队同步
您可以在身份提供程序 (IdP) 与 GitHub 上的组织之间启用和禁用团队同步。
组织所有者可管理组织的团队同步。
团队同步可用于使用的 GitHub Enterprise Cloud 的组织和企业帐户。 更多信息请参阅“GitHub 的产品”。
注:与 Okta 的团队同步目前处于测试阶段,可能会有变更。
关于团队同步
您可以在 IdP 与 GitHub 之间启用团队同步,以允许组织所有者和团队维护员将组织中的团队与 IdP 组连接起来。
当您将 GitHub 团队与 IdP 组同步时,IdP 组的变更将自动反映在 GitHub 上,从而减少对手动更新和自定义脚本的需求。 您可以使用 IdP 与团队同步来管理一系列管理任务,如新成员登记、为组织内的调动授予新权限及删除成员对组织的访问权限。
您可以将团队同步与受支持的 IdP 一起使用。
- Azure AD
- Okta
启用团队同步后,团队维护员和组织所有者可在 GitHub 上或通过 API 将团队连接至 IdP 组。有关更多信息,请参见"Synchronizing a team with an identity provider group" and "Team synchronization."
您还可以为企业帐户拥有的组织启用团队同步。 更多信息请参阅“在企业帐户中实施安全设置”。
启用团队同步
启用团队同步的步骤取决于要使用的 IdP。 有些启用团队同步的基本要求适用于每个 IdP。 每个 IdP 都有额外的基本要求。
基本要求
要对任何 IdP 启用团队同步,必须获得对 IdP 的管理访问权限,或与 IdP 管理员合作配置 IdP 集成和组。 配置 IdP 集成和组的人员必须拥有其中一项必要权限。
IdP | 所需权限 |
---|---|
Azure AD | 全局管理员特权角色管理员 |
Okta | 具有只读管理员权限的服务用户 |
您必须为您的组织和支持的 IdP 启用 SAML 单点登录。 更多信息请参阅“对组织实施 SAML 单点登录”。
您必须使用 SAML SSO 和支持的 IdP 向组织验证。 更多信息请参阅“使用 SAML 单点登录进行身份验证”。
为 Azure AD 启用团队同步
要为 Azure AD 启用团队同步,Azure AD 安装需要以下权限:
- 读取所有用户的完整个人资料
- 登录和读取用户个人资料
- 读取目录数据
- 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)。
- 在您的个人资料页面左侧的“Organizations(组织)”下,单击组织的图标。
- 在组织名称下,单击 Settings(设置)。
- 在左侧边栏中,单击 Organization security.
- 确认 SAML SSO 已启用。 更多信息请参阅“管理组织的 SAML 单点登录”。
- 在“Team synchronization(团队同步)”下,单击 Enable for Azure AD(为 Azure AD 启用)。
- 要确认团队同步:
- 如果您有 IdP 访问权限,则单击 Enable team synchronization(启用团队同步)。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
- 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。
- 查看要与组织连接的身份提供程序租户信息,然后单击 Approve(批准)。
为 Okta 启用团队同步
要对 Okta 启用团队同步,您或 IdP 管理员必须:
- 使用 Okta 为组织启用 SAML SSO 和 SCIM。 更多信息请参阅“使用 Okta 配置 SAML 单点登录和 SCIM”。
- 提供 Okta 实例的租户 URL。
- 为安装为服务用户的 Okta 生成具有只读管理员权限的有效 SSWS 令牌。 更多信息请参阅 Okta 文档中的创建令牌和服务用户。
- 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)。
- 在您的个人资料页面左侧的“Organizations(组织)”下,单击组织的图标。
- 在组织名称下,单击 Settings(设置)。
- 在左侧边栏中,单击 Organization security.
- 确认 SAML SSO 已启用。 更多信息请参阅“管理组织的 SAML 单点登录”。
- 在“Team synchronization(团队同步)”下,单击 Enable for Okta(为 Okta 启用)。
- 在组织名称下,输入有效的 SSWS 令牌和 Okta 实例的 URL。
- 查看要与组织连接的身份提供程序租户信息,然后单击 Create(创建)。
禁用团队同步
警告:禁用团队同步时,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能失去仓库访问权限。
- 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)。
- 在您的个人资料页面左侧的“Organizations(组织)”下,单击组织的图标。
- 在组织名称下,单击 Settings(设置)。
- 在左侧边栏中,单击 Organization security.
- 在“Team synchronization(团队同步)”下,单击 Disable team synchronization(禁用团队同步)。