メモ: Enterprise で Enterprise Managed Users を使う場合は、Team 同期を使う必要はありません。 代わりに、Enterprise のセットアップ中に作成した SCIM 構成を使って、Team のメンバーシップを管理できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。
Team の同期について
Organization または Enterprise アカウントで Team の同期が有効になっている場合は、GitHub Team を IdP グループと同期できます。 GitHub Team を IdP グループと同期すると、IdP グループへの変更が GitHub Enterprise Cloud に自動的に反映され、必要な手動更新やカスタム スクリプトを減らすことができます。 詳しくは、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」をご覧ください。
最大 5 つの IdP グループを 1 つの GitHub Enterprise Cloud チームに接続できます。 IdP グループを複数の GitHub Enterprise Cloud チームに割り当てることができます。
Team同期は5000以上のメンバーを持つIdPグループをサポートしません。
いったん GitHub Team が IdP グループに接続されたら、IdP 管理者はアイデンティティプロバイダを通して Team メンバーシップを変更する必要があります。 GitHub Enterprise Cloud上では、あるいはAPIを使ってTeamメンバーシップを管理することはできません。
Organization が Enterprise アカウントによって所有されている場合、その Enterprise アカウントで Team の同期を有効にすると、Organization レベルでの Team の同期の設定はオーバーライドされます。 詳しくは、「Enterprise で Organization の Team 同期を管理する」を参照してください。
チーム同期はユーザー プロビジョニング サービスではなく、ほとんどの場合、組織に参加するようメンバー以外を招待することはありません。 つまり、ユーザーをチームに追加できるのは、ユーザーが既に組織のメンバーである場合のみです。 ただし、チーム同期では必要に応じて、以前に組織のメンバーだったがそれ以降削除されているユーザーを再び招待することができます。詳細については、「Organization の Team 同期を管理する」と「Enterprise で Organization の Team 同期を管理する」を参照してください。
IdP を通じたチーム メンバーシップ変更はすべて、チーム同期ボットによる変更として GitHub Enterprise Cloud の監査ログに記載されます。 Team の同期では、少なくとも 1 時間に 1 回 IdP からグループ情報がフェッチされ、IdP グループ メンバーシップの変更が GitHub Enterprise Cloud に反映されます。 Team を IdP グループに接続すると、Team メンバーが削除される場合があります。 詳細については、「同期されるチームのメンバーに関する要件」を参照してください。
親チームは IdP グループと同期できません。 IdP グループに接続したい Team が親チームの場合、新しい Team を作るか、Team と親チームのネスト関係を削除することをお勧めします。 詳しくは、「Team について」、「Team の作成」、「Organization 階層内で Team を移動する」をご覧ください。
IdP グループに接続された Team を含めて GitHub Team のリポジトリに対するアクセスを管理するには、GitHub Enterprise Cloud で変更を行う必要があります。 詳細については、「Team について」および「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。
Team同期をAPIで管理することもできます。 詳細については、「チーム同期用の REST API エンドポイント」を参照してください。
同期される Team のメンバーに関する要件
チームを IdP グループに接続した後、Team 同期により、次の場合にのみ IdP グループの各メンバーが GitHub Enterprise Cloud 上の対応するチームに追加されます。
- チームの同期でメンバー以外を組織に招待できない場合、その個人は GitHub Enterprise Cloud 上で既に組織のメンバーです。
- そのユーザーが既に GitHub Enterprise Cloud の個人アカウントでログインしており、少なくとも 1 回は SAML シングル サインオンを介して組織またはエンタープライズ アカウントに認証されている場合。
- そのユーザの SSO ID が IdP グループのメンバーである場合。
これらの条件を満たしていない既存の Team またはグループメンバーは、GitHub Enterprise Cloud の Team から自動的に削除され、リポジトリにアクセスできなくなります。 ユーザのリンクされた ID を取り消すと、IdP グループにマップされている Team からユーザが削除されます。 詳細については、「組織に対するメンバーの SAML アクセスの表示と管理」および「Enterprise へのユーザの SAML アクセスの表示および管理」を参照してください。
削除された Team メンバーは、SSO を使って Organization または Enterprise アカウントに認証され、接続先の IdP グループに移動すれば、再び Team に自動的に追加できます。
意図しない Team メンバーの削除を避けるために、Organization または Enterprise アカウントで SAML SSO を施行し、メンバーシップデータを同期するため新しい Team を作成し、IdP グループのメンバーシップを確認してから既存の Team を同期することをおすすめします。 詳細については、「Organization で SAML シングルサインオンを施行する」および「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。
前提条件
GitHub Enterprise Cloud のチームを IdP グループに接続するには、チームが組織内に既に存在している必要があります。 SCIM プロビジョニングを構成している場合でも、IdP でグループを作成することで、GitHub Enterprise Cloud にチームが自動的に作成されることはありません。
GitHub Enterprise Cloud チームを IdD グループに接続する前に、Organization または Enterprise の所有者は、Organization または Enterprise アカウントのチーム同期を有効にする必要があります。 詳細については、「Organization の Team 同期を管理する」および「Enterprise で Organization の Team 同期を管理する」を参照してください。
Team メンバーを誤って削除しないように、お使いの IdP の管理ポータルにアクセスし、現在の各 Team メンバーが、接続しようとしている IdP グループにも属していることを確認してください。 アイデンティティプロバイダにこうしたアクセスができない場合は、IdP 管理者にお問い合わせください。
SAML SSO を使って認証する必要があります。 詳しくは、「SAMLシングルサインオンで認証する」を参照してください。
IdP グループをTeam に接続する
IdP グループを GitHub Enterprise Cloud Team に接続すると、グループ内のすべてのユーザが自動的に Team に追加されます。
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
Organizationの名前をクリックしてください。
-
Organization 名の下で、 [Teams] をクリックします。
-
チームの名前をクリックします。
-
Team ページの上部にある [設定] をクリックします。
-
[ID プロバイダー グループ] で、 [グループを選択] ドロップダウン メニューを選び、ID プロバイダー グループを最大 5 つまでクリックします。
-
[変更を保存] をクリックします。
IdP グループをTeam から切断する
-
GitHub の右上隅で、プロフィール写真を選択し、 あなたの組織をクリックします。
-
Organizationの名前をクリックしてください。
-
Organization 名の下で、 [Teams] をクリックします。
-
チームの名前をクリックします。
-
Team ページの上部にある [設定] をクリックします。
-
[Identity Provider Groups] で、切断する IdP グループの右にある をクリックします。
-
[変更を保存] をクリックします。