ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

アイデンティティプロバイダと GitHub の間で Team を同期する

You can manage GitHub team membership through an identity provider (IdP) to automatically add and remove team members in an organization or enterprise account.

Teamの同期はGitHub Enterprise Cloudを使用しているOrganizationで利用できます。 詳しい情報については「GitHubの製品」を参照してください。

ここには以下の内容があります:

Team の同期について

GitHub Team と IdP グループを同期すると、IdP グループでの変更が GitHub に自動的に反映され、手動での更新やカスタムスクリプトを作成する手間を省けます。 You can use an IdP with team synchronization to manage administrative tasks such as onboarding new members, granting new permissions for movements within an organization, and removing member access to the organization or enterprise account.

いったん GitHub Team が IdP グループに接続されると、IdP 管理者はアイデンティティプロバイダを通して Team メンバーシップの変更を行う必要があります。 IdP グループに接続している Team では、Team メンバーシップを管理するための GitHub UI および API が無効化します。

IdP グループに接続された Team を含めて GitHub Team のリポジトリに対するアクセスを管理するには、Team のリポジトリタブから GitHub で変更を行う必要があります。 For more information, see "About teams" and "Managing team access to an organization repository." You can also make changes through the API. For more information, see "Team synchronization" on GitHub 開発者ドキュメンテーション.

IdP を通じた Team メンバーシップ変更はすべて、Team 同期ボットによる変更として GitHub の Audit log に表示されます。 Team membership data is sent from the IdP to GitHub once every hour.

You can enable team synchronization for organizations owned by enterprise accounts with SAML enabled. For more information, see "Enforcing security settings in your enterprise account."

Note: You can configure team synchronization with Azure AD. People with Global administrator and Privileged Role administrator permissions can enable team synchronization for an Azure AD organization.

同期される Team のメンバーに関する要件

After you enable team synchronization, membership data for each team member will synchronize if the person continues to authenticate using SAML SSO with the same SSO identity on GitHub, and if the person remains a member of the connected IdP group.

Once you connect a team to an IdP group, existing teams or group members can be automatically removed from the team on GitHub. Any existing teams or group members not authenticating to the organization or enterprise account using SSO may lose access to repositories. Any existing teams or group members not in the connected IdP group may potentially lose access to repositories.

A removed team member can be added back to a team automatically once they have authenticated to the organization or enterprise account using SSO and are moved to the connected IdP group.

To avoid unintentionally removing team members, we recommend enforcing SAML SSO in your organization or enterprise account, creating new teams to synchronize membership data, and checking IdP group membership before synchronizing existing teams. For more information, see "Enforcing SAML single sign-on for your organization."

If your organization is owned by an enterprise account, enabling team synchronization for the enterprise account will override your organization-level team synchronization settings. For more information, see "Enforcing security settings in your enterprise account."

Team の同期を有効化する

GitHub Enterprise Cloud Organization で Team の同期を有効化するには、以下が必要です:

Azure AD のインストールには、以下の権限が必要です:

  • すべてのユーザに対するフルプロフィールの読み取り
  • サインインおよびユーザプロフィールの読み取り
  • ディレクトリデータの読み取り
  1. GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
    プロフィール画像
  2. プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
    organizationのアイコン
  3. Organization名の下で、Settings(設定)をクリックしてください。
    Organizationの設定ボタン
  4. Organizationの設定サイドバーで、Security(セキュリティ)をクリックしてください。
    セキュリティ設定
  5. SAML SSO が有効であることを確認します。 詳細は「Organization で SAML シングルサインオンを管理する」を参照してください。
  6. [Team synchronization] の下にある [Enable for your identity provider] をクリックします。
    セキュリティ設定ページの [Enable team synchronization] ボタン
  7. Team の同期を確認するには、以下を実行します:

    • IdP にアクセスできる場合は、[Enable team synchronization] をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
    • IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。
      [Enable team synchronization redirect] ボタン
  8. Organization に接続したいアイデンティティプロバイダのテナント情報を確認してから、[Approve] をクリックします。
    特定の IdP テナントに対して、Team の同期を有効化するペンディングリクエストと、リクエストを承認またはキャンセルするオプション

You can also enable team synchronization for organizations in your enterprise account. For more information, see "Enforcing security settings in your enterprise account."

Team maintainers, organization owners, and enterprise owners can connect a team to an IdP group through team settings on GitHub or through the API. For more information, see "Creating a team and connecting it to an IdP group," "Changing a team's connected IdP groups," or "Team synchronization" on GitHub 開発者ドキュメンテーション.

Team を作成し、IdP グループに接続する

After you enable team synchronization, you can create a team and connect it to an IdP group if you:

You can connect up to five IdP groups to a GitHub team, and an IdP group can be assigned to multiple GitHub teams without restriction.

親チームは IdP グループと同期できないため、新しい Team は子チームとなり、親チームにはできません。 詳細は「チームについて」を参照してください。

  1. GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。

    プロフィール画像

  2. プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。

    organizationのアイコン

  3. Organization名の下で、Settings(設定)をクリックしてください。

    Organizationの設定ボタン

  4. Organization名の下で、Teamsをクリックしてください。

    Teamsタブ

  5. Teamsタブの右側で、New team(新規Team)をクリックしてください。

    新規Teamボタン

  6. "Create new team(新規Teamの作成)"の下で、新しいTeamの名前を入力してください。

    Team名フィールド

  7. あるいは、"Description(説明)"フィールドにTeamの説明を入力してください。

    Teamの説明フィールド

  8. アイデンティティプロバイダ名の下で、ドロップダウンメニューまたは (グループ名の最初の 3 文字を使う) プレフィックス検索で IdP グループを選択します。

    Team を IdP グループに接続すると、Team メンバーが削除される場合があります。 詳細は「同期される Team のメンバーに関する要件」を参照してください。

    IdP グループ検索結果を表示するドロップダウンメニュー

  9. Teamを見えるようにするか、秘密にするかを決めてください。

    可視と秘密を含む可視性の選択肢

  10. Create team(Teamの作成)をクリックしてください。

Team メンバーがデフォルトでアクセスできる Organization リポジトリを選択するには、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。接続された IdP グループは、これらのリポジトリに対するアクセス権限を自動的に持ちます。

GitHub Team 同期ボットは、接続した IdP グループから GitHub Team に、自動的にメンバーを追加します。

Team が接続する IdP グループを変更する

Team 同期の有効化後は、以下の条件を満たせば Team を作成して IdP グループに接続できます:

一度 GitHub Team が IdP グループに接続されると、IdP 管理者は IdP を通して Team メンバーシップの変更を行う必要があります。

IdP グループを親 GitHub チームには接続できませんが、子チームには接続できます。 詳細は「Teamについてを参照してください。新しいチームを作成するか、Team を親チームにしているネストされた関係を解消することをお勧めします。 For more information, see "Moving a team in your organization's hierarchy" or "Creating a team and connecting it to an IdP group."

You can connect up to five IdP groups to a GitHub team, and an IdP group can be assigned to multiple GitHub teams without restriction.

  1. GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。

    プロフィール画像

  2. プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。

    organizationのアイコン

  3. Organization名の下で、Settings(設定)をクリックしてください。

    Organizationの設定ボタン

  4. Organization名の下で、 Teamsをクリックしてください。

    OrganizationページのTeamsタブ

  5. 接続する IdP グループを変更したい Team を選択します。

    2 つの Team を選択した状態の Team リスト

  6. オプションで、意図しない Team メンバーの削除を避けるため、アイデンティティプロバイダの管理者ポータルにアクセスし、現在の各 Team メンバーが、この Team を接続したいアイデンティティグループにも属しているかを確認します。 アイデンティティプロバイダにこうしたアクセスができない場合は、IdP 管理者にお問い合わせください。

  7. アイデンティティプロバイダ名の下で、ドロップダウンメニューまたは (グループ名の最初の 3 文字を使う) プレフィックス検索で IdP グループを選択します。

    Team を IdP グループに接続すると、Team メンバーが削除される場合があります。 詳細は「同期される Team のメンバーに関する要件」を参照してください。

    IdP グループ検索結果を表示するドロップダウンメニュー

  8. オプションで、接続した IdP グループから切断するには、接続した IdP グループ名の右側にある、[] をクリックします。 そのIdP グループを通じて GitHub Team に割り当てられた Team メンバーは、すべてその Team から削除されます。

    接続した IdP グループを GitHub team から選択解除する

  9. 確定するため、[Save changes] をクリックします。

Team メンバーがデフォルトでアクセスできる Organization リポジトリを変更するには、「Organization のリポジトリに対するチームのアクセスを管理する」を参照してください。接続された IdP グループは、これらのリポジトリに対するアクセス権限を自動的に持ちます。

Team の同期を無効化する

Team の同期を無効化すると、IdP グループを通じて GitHub Team に割り当てられた Team メンバーは、すべてその Team から削除され、リポジトリへのアクセスを失う場合もあります。

  1. GitHubの右上で、プロフィール画像をクリックし、続いてYour profile(あなたのプロフィール)をクリックしてください。
    プロフィール画像
  2. プロフィールページの左側で、"Organizations"の下であなたのOrganizationのアイコンをクリックしてください。
    organizationのアイコン
  3. Organization名の下で、Settings(設定)をクリックしてください。
    Organizationの設定ボタン
  4. Organizationの設定サイドバーで、Security(セキュリティ)をクリックしてください。
    セキュリティ設定
  5. [Team synchronization] の下にある [Disable team synchronization] をクリックします。
    Team の同期を無効化する

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください