注意:如果企业使用 Enterprise Managed Users,则不需要使用团队同步。 而是可以通过在设置企业时创建的 SCIM 配置来管理团队成员身份。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。
关于团队同步
您可以在 IdP 与 GitHub Enterprise Cloud 之间启用团队同步,以允许组织所有者和团队维护员将组织中的团队与 IdP 组连接起来。
如果为组织或企业帐户启用了团队同步,则可以将 GitHub 团队与 IdP 组同步。 当你将 GitHub 团队与 IdP 组同步时,IdP 组的成员身份变更将自动反映在 GitHub Enterprise Cloud 上,从而减少对手动更新和自定义脚本的需求。
要将 GitHub Enterprise Cloud 上的团队连接到 IdP 组,必须确保该团队已存在于组织中。 即使已配置 SCIM 预配,在 IdP 中创建组也不会自动在 GitHub Enterprise Cloud 上创建团队。
注意:若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。
您可以将团队同步与受支持的 IdP 一起使用。
- Entra ID 商业租户(不支持政府云)
- Okta
团队同步不是用户预配服务,在大多数情况下不会邀请非成员加入组织。 这意味着只有当用户已经是组织成员时,才会成功地将其添加到团队中。 但是,你可以选择允许团队同步来重新邀请以前是组织成员而后来被删除的用户。
启用团队同步后,团队维护员和组织所有者可在 GitHub 上或通过 API 将团队连接至 IdP 组。 有关详细信息,请参阅“将团队与身份提供程序组同步”和“团队的 REST API 终结点”。
还可为企业帐户拥有的所有组织启用团队同步。 如果在企业级别配置 SAML,则无法对单个组织启用团队同步。 而是必须为整个企业配置团队同步。 有关详细信息,请参阅“管理企业中组织的团队同步”。
如果你的组织由企业帐户拥有,则对企业帐户启用团队同步将覆盖组织级的团队同步设置。 有关详细信息,请参阅“管理企业中组织的团队同步”。
使用限制
团队同步功能存在使用限制。 超过这些限制将导致性能下降,并可能导致同步失败。
- GitHub 团队中的成员人数上限:5,000
- GitHub 组织中的成员人数上限:10,000
- GitHub 组织中的团队数上限:1,500
启用团队同步
启用团队同步的步骤取决于想要使用的 IdP。 有些启用团队同步的基本要求适用于每个 IdP。 每个 IdP 都有额外的基本要求。
先决条件
要对任何 IdP 启用团队同步,必须获得对 IdP 的管理访问权限,或与 IdP 管理员合作配置 IdP 集成和组。 配置 IdP 集成和组的人员必须拥有其中一项必要权限。
IdP | 所需的权限 |
---|---|
Entra ID |
|
Okta |
|
您必须为您的组织和支持的 IdP 启用 SAML 单点登录。 有关详细信息,请参阅“实施组织的 SAML 单点登录”。
您必须具有链接的 SAML 身份。 要创建链接身份,您必须至少使用 SAML SSO 和支持的 IdP 向您的组织进行身份验证一次。 有关详细信息,请参阅“使用 SAML 单点登录进行身份验证”。
注意:若要确保团队同步能够正常工作,SAML 设置必须包含“证书颁发者”字段的有效 IdP URL。 有关详细信息,请参阅“为组织启用和测试 SAML 单一登录”。
为 Entra ID 启用团队同步
要为 Entra ID 启用团队同步,Entra ID 安装需要具有以下权限。
- 读取所有组成员身份:GitHub 获取 Entra 组的列表,以便用户可以选择一个组来同步到特定的 GitHub 团队。
- 读取所有用户的完整配置文件:GitHub 获取成员的 Entra ID 和 Entra 显示/全名的列表,以便同步 Entra 组和 GitHub 团队。
- 登录并读取用户配置文件:启用 SAML SSO 后,用户必须单一登录到 Entra 应用程序作为团队同步的先决条件。
- 在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
- 在组织旁边,单击“设置”。
- 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
- 确认是否为企业启用了 SAML SSO。
- 在“团队同步”下,单击“为 Entra ID 启用”****。
- 确认团队同步。
- 如果你具有 IdP 访问权限,请单击“启用团队同步”。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
- 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。
- 查看要与组织连接的标识提供者租户信息,然后单击“批准”。
为 Okta 启用团队同步
Okta 团队同步要求已为您的组织设置了具有 Okta 的 SAML 和 SCIM。
为避免与 Okta 发生潜在的团队同步错误,我们建议您先确认已为属于所选 Okta 组成员的所有组织成员正确设置了 SCIM 链接身份,然后再在 GitHub 上启用团队同步。
如果组织成员没有链接的 SCIM 身份,则团队同步将无法按预期工作,并且可能不会按预期在团队中添加或删除用户。 如果这些用户中的任何一个缺少 SCIM 链接身份,则需要重新预配它们。
有关预配缺少 SCIM 链接标识的用户的帮助,请参阅“排除组织的标识和访问管理故障”。
对 Okta 启用团队同步之前,你或你的 IdP 管理员必须:
- 使用 Okta 为组织配置 SAML、SSO 和 SCIM 集成。 有关详细信息,请参阅“使用 Octa 配置 SAML 单个登录和 SCIM”。
- 提供 Okta 实例的租户 URL。
- 为 Okta 安装(作为服务用户)生成具有只读管理员权限的有效 SSWS 令牌。 有关详细信息,请参阅 Okta 文档中的创建令牌和服务用户。
- 在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
- 在组织旁边,单击“设置”。
- 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
- 确认是否为企业启用了 SAML SSO。
- 建议确认用户是否已启用 SAML 并具有关联的 SCIM 标识,以避免潜在的预配错误。 有关详细信息,请参阅“排除组织的标识和访问管理故障”。
- 请考虑在组织中强制实施 SAML,以确保组织成员链接其 SAML 和 SCIM 身份。 有关详细信息,请参阅“实施组织的 SAML 单点登录”。
- 在“团队同步”下,单击“为 Okta 启用”。
- 在组织名称下的“SSWS 令牌”字段中,输入有效的 SSWS 令牌。
- 在“URL”字段中,输入 Okta 实例的 URL。
- 查看要与组织连接的标识提供者租户信息,然后单击“创建”。
管理团队同步是否可以重新邀请非成员加入组织
对此设置的更改不会影响挂起的邀请。 允许团队同步重新邀请过去的成员加入组织时生成的任何邀请都可能导致成员重新添加到组织,即使此后不允许重新邀请也是如此。
- 在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
- 在组织旁边,单击“设置”。
- 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
- 在“团队同步”下,选择或取消选择“不允许团队同步重新邀请已被组织所有者删除的过去成员加入该组织”。
禁用团队同步
Warning
禁用团队同步时,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能无法访问仓库。
- 在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
- 在组织旁边,单击“设置”。
- 在侧边栏的“安全性”部分中,单击“ 身份验证安全性”。
- 在“团队同步”下,单击“禁用团队同步”。