我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

在身份提供程序与 GitHub 之间同步团队

团队同步可用于使用 GitHub Enterprise Cloud 的组织。 更多信息请参阅“GitHub 的产品。”

您可以通过身份提供程序 (IdP) 管理 GitHub 团队成员资格,从而在组织中自动添加和删除团队成员。

注:团队同步目前处于公开测试阶段,随时可能发生变化。

本文内容:

关于团队同步

当您将 GitHub 团队与 IdP 组同步时,对 IdP 组的更改会自动在 GitHub 上反映,从而减少了对手动更新和自定义脚本的需求。

Azure AD 是初始公开测试版唯一支持的 IdP。

GitHub 团队连接到 IdP 组后,您的 IdP 管理员必须通过身份提供程序进行团队成员资格更改。 对于连接到 IdP 组的团队,将禁用管理团队成员资格的 GitHub UI 和 API。

要管理 GitHub 团队(包括连接到 IdP 组的团队)的仓库访问权限,您必须通过团队的仓库选项卡对 GitHub 进行更改。 更多信息请参阅“关于团队”和“管理团队对组织仓库的访问”。

通过 IdP 进行的所有团队成员资格更改都将在 GitHub 审核日志中显示为团队同步自动程序所进行的更改。 团队成员资格数据从身份提供程序发送到 GitHub,每小时一次。

已同步团队成员的要求

只要启用了团队同步,个人继续使用 SAML SSO 进行身份验证并且仍然是具有相同 SSO 身份的已连接团队和 IdP 组成员时,用户的成员资格数据将同步。

将团队连接到 IdP 组后,如果现有团队或组成员没有使用 SSO 向组织进行身份验证,或者他们并非同时位于已连接的 IdP 组中,则这些成员可从 GitHub 上的团队自动删除,并可能无法访问仓库。

删除的团队成员使用 SSO 向组织进行身份验证后可以自动添加回团队,并移动到已连接的 IdP 组。

为避免无意中删除团队成员,我们建议在您的组织中强制实施 SAML SSO,创建新团队以同步成员资格数据,并在同步现有团队之前检查 IdP 组成员资格。 更多信息请参阅“对组织实施 SAML 单点登录”。

启用团队同步

要为 GitHub Enterprise Cloud 组织启用团队同步,您必须:

您的 Azure AD 安装需要以下权限:

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)

    个人资料照片

  2. 在个人资料页面的左侧,在“Organizations(组织)”下单击组织的图标。

    组织图标

  3. 在组织名称下,单击 Settings(设置)

    组织设置按钮

  4. 在组织设置侧边栏中,单击 Security(安全)

    Security(安全)设置

  5. 确认 SAML SSO 已启用。 更多信息请参阅“使用 SAML 单点登录管理组织中的成员身份和访问权限”。

  6. 在“Team synchronization(团队同步)”下,单击 Enable for your identity provider(为您的身份提供程序启用)

    安全设置页面上的启用团队同步按钮

  7. 要确认团队同步:

    • 如果您有 IdP 访问权限,则单击 Enable team synchronization(启用团队同步)。 您将被重定向到身份提供程序的 SAML SSO 页面,并要求选择您的帐户和查看请求的权限。
    • 如果您没有 IdP 访问权限,请复制 IdP 重定向链接并将其与您的 IdP 管理员共享以继续启用团队同步。
      启用团队同步重定向按钮
  8. 查看要与组织连接的身份提供程序租户信息,然后单击 Approve(批准)

    启用特定 IdP 租户团队同步且含有批准或取消请求选项的待处理请求

现在,团队维护员和组织所有者都可以通过 GitHub 上的团队设置将团队连接到 IdP 组。 更多信息请参阅“创建团队并将其连接到 IdP 组”或“更改团队连接的 IdP 组”。

创建团队并将其连接到 IdP 组

启用团队同步后,以下情况时您可创建团队并将其连接到 IdP 组:

您可以将最多五个 IdP 组连接到 GitHub 团队,并且可以无限制地将 IdP 组分配给多个 GitHub 团队。

父团队无法与 IdP 组同步,因此您的新团队可以是子团队,但不能是父团队。 更多信息请参阅“关于团队”。

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)

    个人资料照片

  2. 在个人资料页面的左侧,在“Organizations(组织)”下单击组织的图标。

    组织图标

  3. 在组织名称下,单击 Settings(设置)

    组织设置按钮

  4. 在组织名称下,单击 Teams(团队)

    Teams(团队)选项卡

  5. 在 Teams(团队)选项卡的右侧,单击 New team(新建团队)

    New team(新建团队)按钮

  6. 在“Create new team(创建新团队)”下,键入新团队的名称。

    团队名称字段

  7. (可选)在“Description(说明)”字段中,键入团队说明。

    团队说明字段

  8. 在身份提供程序名称下,使用下拉菜单或前缀搜索(使用组名称的前三个字母)选择 IdP 组。

    将团队连接到 IdP 组可能会删除一些团队成员。 更多信息请参阅“对同步的团队成员的要求”。

    显示 IdP 组搜索结果的下拉菜单

  9. 决定团队是可见还是机密。

    包括可见和机密的可见性选项

  10. 单击 Create team(创建团队)

要选择希望团队成员默认拥有访问权限的组织仓库,请参阅“管理团队对组织仓库的访问”。已连接的 IdP 组自动拥有这些仓库的访问权限。

GitHub 团队同步自动程序会将成员从连接的 IdP 组自动添加到 GitHub 团队。

更改团队连接的 IdP 组

启用团队同步后,以下情况时您可创建团队并将其连接到 IdP 组:

GitHub 团队连接到 IdP 组后,您的 IdP 管理员必须通过 IdP 进行团队成员资格更改。

您无法将 IdP 组连接到父 GitHub 团队,但可以连接到子团队。 更多信息请参阅“关于团队”。我们建议创建新团队或删除使您的团队成为父团队的嵌套关系。 更多信息请参阅“在组织的层次结构中移动团队”或“创建团队并将其连接到 IdP 组”。

您可以将最多五个 IdP 组连接到 GitHub 团队,并且可以无限制地将 IdP 组分配给多个 GitHub 团队。

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)

    个人资料照片

  2. 在个人资料页面的左侧,在“Organizations(组织)”下单击组织的图标。

    组织图标

  3. 在组织名称下,单击 Settings(设置)

    组织设置按钮

  4. 在组织名称下,单击 Teams(团队)

    组织页面上的 Teams(团队)选项卡

  5. 选择您要更改已连接 IdP 组的团队。

    选择了两个团队的团队列表

  6. (可选)为避免无意中删除团队成员,请访问您的身份提供程序的管理门户,并确认每个当前团队成员同时位于您要连接到此团队的身份组中。 如果您没有身份提供程序的这一访问权限,在可以联系 IdP 管理员。

  7. 在身份提供程序名称下,使用下拉菜单或前缀搜索(使用组名称的前三个字母)选择 IdP 组。

    将团队连接到 IdP 组可能会删除一些团队成员。 更多信息请参阅“已同步团队成员的要求”。

    显示 IdP 组搜索结果的下拉菜单

  8. (可选)要断开已连接的 IdP 组,在已连接 IdP 组名称右侧,单击 。 通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除。

    从 GitHub 团队取消选择已连接的 IdP 组

  9. 要确认,请单击 Save changes(保存更改)

要修改希望团队成员默认拥有访问权限的组织仓库,请参阅“管理团队对组织仓库的访问”。已连接的 IdP 组自动拥有这些仓库的访问权限。

禁用团队同步

禁用团队同步时,通过 IdP 组分配给 GitHub 团队的任何团队成员都将从该团队删除,并且可能无法访问仓库。

  1. 在 GitHub 的右上角,单击您的个人资料照片,然后单击 Your profile(您的个人资料)

    个人资料照片

  2. 在个人资料页面的左侧,在“Organizations(组织)”下单击组织的图标。

    组织图标

  3. 在组织名称下,单击 Settings(设置)

    组织设置按钮

  4. 在组织设置侧边栏中,单击 Security(安全)

    Security(安全)设置

  5. 在“Team synchronization(团队同步)”下,单击 Disable team synchronization(禁用团队同步)

    禁用团队同步

问问别人

找不到要找的内容?

联系我们