Sincronizar equipes entre o provedor de identidade e o GitHub

Neste artigo:

• Sobre a sincronização de equipes
• Requisitos para integrantes de equipes sincronizadas
• Habilitar a sincronização de equipes
• Criar uma equipe e conectá-la a um grupo de IdP
• Alterar os grupos de IdP conectados de uma equipe
• Desabilitar a sincronização de equipes

Sobre a sincronização de equipes

Quando você sincroniza uma equipe do GitHub com um grupo de IdP, a alterações no grupo são refletidas no GitHub automaticamente, reduzindo a necessidade de atualizações manuais e scripts personalizados.

É possível configurar a sincronização de equipes com o Azure AD.

Depois que as equipes do GitHub estiverem conectadas a um grupo de IdP, o administrador do IdP deve fazer as alterações na associação a equipes por meio do provedor de identidade. Em equipes conectadas a um grupo de IdP, a UI e a API do GitHub para gerenciar a associação a equipes são desabilitadas.

Para gerenciar o acesso a repositórios de uma equipe do GitHub, inclusive equipes conectadas a um grupo de IdP, é preciso fazer alterações no GitHub usando a guia de repositórios da equipe. Para obter mais informações, consulte "Sobre equipes" e "Gerenciar o acesso da equipe ao repositório de uma organização". Também é possível fazer alterações por meio da API. Para obter mais informações, consulte "Sincronização de equipes" no documentação do GitHub Developer.

Todas as alterações na associação a equipes por meio do IdP serão exibidas no log de auditoria no GitHub como alterações feitas pelo bot de sincronização de equipes. Os dados da associação a equipes são enviados do provedor de identidade para o GitHub a cada hora.

Não há suporte para a sincronização de equipes em organizações pertencentes a uma conta corporativa com SAML habilitado.

Requisitos para integrantes de equipes sincronizadas

Enquanto a sincronização de equipes estiver habilitada, os dados de associação referentes a um usuário serão sincronizados caso o indivíduo continue a se autenticar usando SAML SSO e permaneça como integrante tanto da equipe conectada como do grupo de IdP com a mesma identidade SSO.

Depois que que você conectar uma equipe a um grupo de IdP, um integrante do grupo ou da equipe existente poderá ser automaticamente removido da equipe no GitHub e até perder o acesso a repositório caso não esteja se autenticando para a organização usando SSO ou não esteja também no grupo de IdP conectado.

Um integrante da equipe removido pode ser adicionado de volta a uma equipe automaticamente depois que tiver se autenticado para a organização usando SSO e for movido para o grupo de IdP conectado.

Para evitar a remoção involuntária de integrantes da equipe, recomendamos aplicar SAML SSO na organização, criar novas equipes para sincronizar os dados da associação e verificar a associação ao grupo de IdP antes de sincronizar as equipes existentes. Para obter mais informações, consulte "Aplicar logon único de SAML para sua organização".

Habilitar a sincronização de equipes

Para habilitar a sincronização de equipes para uma organização do GitHub Enterprise Cloud, é preciso:

• Ser proprietário da organização e ter acesso aos grupos do provedor de identidade. Se você não tiver acesso ao IdP, peça ao administrador do IdP.
• Ter o SAML SSO habilitado para a organização e o IdP compatível. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".
• Autenticar-se usando o SAML SSO para a organização e o IdP compatível. Para obter mais informações, consulte "Autenticar com logon único de SAML".

A instalação do Azure AD precisa das seguintes permissões:

• Ler os perfis completos de todos os usuários
• Entrar e ler o perfil do usuário
• Ler dados do diretório

1. In the top right corner of GitHub, click your profile photo, then click Your profile.

   

2. On the left side of your profile page, under "Organizations", click the icon for your organization.

   

3. Under your organization name, click Settings.

   

4. In the organization settings sidebar, click Security.

   

5. Confirme que o SAML SSO está habilitado. For more information, see "Gerenciar logon único de SAML para sua organização".

6. Em "Team synchronization" (Sincronização de equipes), clique em Enable for your identity provider (Habilitar para o provedor de identidade).

   

7. Para confirmar a sincronização de equipes:

   • Se você tiver acesso ao IdP, clique em Enable team synchronization (Habilitar sincronização de equipes). Você será redirecionado para a página do SAML SSO do provedor de identidade e precisará selecionar sua conta e revisar as permissões solicitadas.
   • Se você não tiver acesso ao IdP, copie o link de redirecionamento do IdP e compartilhe-o com o administrador do IdP para continuar habilitando a sincronização de equipes.
     

8. Reveja as informações do encarregado do provedor de identidade que você deseja conectar à organização e clique em Approve (Aprovar).

   

Os mantenedores de equipe e os proprietários da organização podem conectar uma equipe a um grupo de IdP por meio da API ou das configurações de equipe no GitHub. Para obter mais informações, consulte "Criar uma equipe e conectá-la a um grupo de IdP", "Alterar os grupos de IdP conectados de uma equipe" ou "Sincronização de equipes" no documentação do GitHub Developer.

Criar uma equipe e conectá-la a um grupo de IdP

Depois que a sincronização de equipes estiver habilitada, você poderá criar uma equipe e conectá-la a um grupo de IdP se:

• Você tiver o SAML SSO habilitado para a organização. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".

• Você se autenticar usando o SAML SSO. Para obter mais informações, consulte "Autenticar com logon único de SAML".

• Você for mantenedor de equipe ou proprietário da organização. Para obter mais informações, consulte "Permissões de acesso no GitHub".

  Observação: se você tiver permissões para criar uma equipe na organização, poderá criar uma nova equipe e se tornar mantenedor de equipe por padrão. Os proprietários da organização podem limitar a criação de equipes a proprietários da organização ou permitir que qualquer integrante dela crie equipes. Para obter mais informações, consulte "Configurar permissões de criação de equipes na organização".

É possível conectar até cinco grupos de IdP a uma equipe do GitHub, e um grupo de IdP pode ser atribuído a várias equipes do GitHub sem restrição.

Como equipes principais não são capazes de sincronizar com grupos de IdP, a nova equipe pode ser secundária, mas não principal. Para obter mais informações, consulte "Sobre equipes".

1. In the top right corner of GitHub, click your profile photo, then click Your profile.

   

2. On the left side of your profile page, under "Organizations", click the icon for your organization.

   

3. Under your organization name, click Settings.

   

4. Under your organization name, click Teams.

   

5. On the right side of the Teams tab, click New team.

   

6. Under "Create new team", type the name for your new team.

   

7. Optionally, in the "Description" field, type a description of the team.

   

8. No nome do provedor de identidade, escolha um grupo de IdP usando o menu suspenso ou a busca por prefixo, que utiliza as três primeiras letras do nome do grupo.

   A conexão de uma equipe a um grupo de IdP pode remover alguns integrantes da equipe. Para obter mais informações, consulte "Requisitos para integrantes de equipes sincronizadas".

   

9. Decide whether the team will be visible or secret.

   

10. Click Create team.

Para selecionar os repositórios da organização aos quais você deseja que os integrantes da equipe tenham acesso por padrão, consulte "Gerenciar o acesso da equipe a um repositório da organização". Os grupos de IdP conectados terão acesso automaticamente a esses repositórios.

O bot de sincronização de equipes do GitHub adicionará integrantes automaticamente à equipe do GitHub com base nos grupos de IdP conectados.

Alterar os grupos de IdP conectados de uma equipe

Depois que a sincronização de equipes estiver habilitada, você poderá criar uma equipe e conectá-la a um grupo de IdP se:

• Você tiver o SAML SSO habilitado para a organização. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".
• Você se autenticar usando o SAML SSO. Para obter mais informações, consulte "Autenticar com logon único de SAML".
• Você for mantenedor de equipe ou proprietário da organização. Para obter mais informações, consulte "Permissões de acesso no GitHub".

Depois que as equipes do GitHub estiverem conectadas a um grupo de IdP, o administrador do IdP deve fazer as alterações na associação a equipes por meio do IdP.

Você não pode conectar um grupo de IdP a uma equipe principal do GitHub, mas pode conectar a uma equipe secundária. Para obter mais informações, consulte "Sobre equipes". Recomendamos criar uma nova equipe ou remover as relações aninhadas que tornam a sua equipe uma equipe principal. Para obter mais informações, consulte "Mover uma equipe na hierarquia da organização" ou "Criar uma equipe e conectá-la a um grupo de IdP".

É possível conectar até cinco grupos de IdP a uma equipe do GitHub, e um grupo de IdP pode ser atribuído a várias equipes do GitHub sem restrição.

1. In the top right corner of GitHub, click your profile photo, then click Your profile.

   

2. On the left side of your profile page, under "Organizations", click the icon for your organization.

   

3. Under your organization name, click Settings.

   

4. Under your organization name, click Teams.

   

5. Selecione a equipe para a qual deseja alterar os grupos de IdP conectados.

   

6. Como alternativa, para evitar a remoção involuntária de membros da equipe, visite o portal de administração do provedor de identidade e confirme se cada integrante da equipe atual também está nos grupos de identidade que você deseja conectar a essa equipe. Se você não tiver acesso ao provedor de identidade, entre em contato com o administrador do IdP.

7. No nome do provedor de identidade, escolha um grupo de IdP usando o menu suspenso ou a busca por prefixo, que utiliza as três primeiras letras do nome do grupo.

   A conexão de uma equipe a um grupo de IdP pode remover alguns integrantes da equipe. Para obter mais informações, consulte "Requisitos para integrantes de equipes sincronizadas".

   

8. Como alternativa, para desconectar um grupo de IdP conectado, clique em à direita do nome do grupo de IdP conectado. Qualquer integrante da equipe que esteja atribuído à equipe do GitHub por meio do grupo de IdP será removido da equipe.

   

9. Para confirmar, clique em Save changes (Salvar alterações).

Para modificar os repositórios da organização aos quais você deseja que os integrantes da equipe tenham acesso por padrão, consulte "Gerenciar o acesso da equipe a um repositório da organização". Os grupos de IdP conectados terão acesso automaticamente a esses repositórios.

Desabilitar a sincronização de equipes

Quando você desabilita a sincronização de equipes, qualquer integrante da equipe que esteja atribuído a uma equipe do GitHub por meio do grupo de IdP é removido da equipe e pode perder o acesso aos repositórios.

1. In the top right corner of GitHub, click your profile photo, then click Your profile.

   

2. On the left side of your profile page, under "Organizations", click the icon for your organization.

   

3. Under your organization name, click Settings.

   

4. In the organization settings sidebar, click Security.

   

5. Em "Team synchronization" (Sincronização de equipes), clique em Disable team synchronization (Desabilitar sincronização de equipes).