Sincronizar equipes entre o provedor de identidade e o GitHub
É possível gerenciar a associação a equipes do GitHub por meio de um provedor de identidade (IdP, Identity Provider) para adicionar e remover automaticamente integrantes da equipe em uma organização.
Team synchronization is available for organizations using GitHub Enterprise Cloud. For more information, see "GitHub's products."
Neste artigo:
- Sobre a sincronização de equipes
- Requisitos para integrantes de equipes sincronizadas
- Habilitar a sincronização de equipes
- Criar uma equipe e conectá-la a um grupo de IdP
- Alterar os grupos de IdP conectados de uma equipe
- Desabilitar a sincronização de equipes
Sobre a sincronização de equipes
Quando você sincroniza uma equipe do GitHub com um grupo de IdP, a alterações no grupo são refletidas no GitHub automaticamente, reduzindo a necessidade de atualizações manuais e scripts personalizados.
É possível configurar a sincronização de equipes com o Azure AD.
Depois que as equipes do GitHub estiverem conectadas a um grupo de IdP, o administrador do IdP deve fazer as alterações na associação a equipes por meio do provedor de identidade. Em equipes conectadas a um grupo de IdP, a UI e a API do GitHub para gerenciar a associação a equipes são desabilitadas.
Para gerenciar o acesso a repositórios de uma equipe do GitHub, inclusive equipes conectadas a um grupo de IdP, é preciso fazer alterações no GitHub usando a guia de repositórios da equipe. Para obter mais informações, consulte "Sobre equipes" e "Gerenciar o acesso da equipe ao repositório de uma organização". Também é possível fazer alterações por meio da API. Para obter mais informações, consulte "Sincronização de equipes" no documentação do GitHub Developer.
Todas as alterações na associação a equipes por meio do IdP serão exibidas no log de auditoria no GitHub como alterações feitas pelo bot de sincronização de equipes. Os dados da associação a equipes são enviados do provedor de identidade para o GitHub a cada hora.
Não há suporte para a sincronização de equipes em organizações pertencentes a uma conta corporativa com SAML habilitado.
Requisitos para integrantes de equipes sincronizadas
Enquanto a sincronização de equipes estiver habilitada, os dados de associação referentes a um usuário serão sincronizados caso o indivíduo continue a se autenticar usando SAML SSO e permaneça como integrante tanto da equipe conectada como do grupo de IdP com a mesma identidade SSO.
Depois que que você conectar uma equipe a um grupo de IdP, um integrante do grupo ou da equipe existente poderá ser automaticamente removido da equipe no GitHub e até perder o acesso a repositório caso não esteja se autenticando para a organização usando SSO ou não esteja também no grupo de IdP conectado.
Um integrante da equipe removido pode ser adicionado de volta a uma equipe automaticamente depois que tiver se autenticado para a organização usando SSO e for movido para o grupo de IdP conectado.
Para evitar a remoção involuntária de integrantes da equipe, recomendamos aplicar SAML SSO na organização, criar novas equipes para sincronizar os dados da associação e verificar a associação ao grupo de IdP antes de sincronizar as equipes existentes. Para obter mais informações, consulte "Aplicar logon único de SAML para sua organização".
Habilitar a sincronização de equipes
Para habilitar a sincronização de equipes para uma organização do GitHub Enterprise Cloud, é preciso:
- Ser proprietário da organização e ter acesso aos grupos do provedor de identidade. Se você não tiver acesso ao IdP, peça ao administrador do IdP.
- Ter o SAML SSO habilitado para a organização e o IdP compatível. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".
- Autenticar-se usando o SAML SSO para a organização e o IdP compatível. Para obter mais informações, consulte "Autenticar com logon único de SAML".
A instalação do Azure AD precisa das seguintes permissões:
- Ler os perfis completos de todos os usuários
- Entrar e ler o perfil do usuário
- Ler dados do diretório
-
In the top right corner of GitHub, click your profile photo, then click Your profile.
-
On the left side of your profile page, under "Organizations", click the icon for your organization.
-
Under your organization name, click Settings.
-
In the organization settings sidebar, click Security.
-
Confirme que o SAML SSO está habilitado. For more information, see "Gerenciar logon único de SAML para sua organização".
-
Em "Team synchronization" (Sincronização de equipes), clique em Enable for your identity provider (Habilitar para o provedor de identidade).
-
Para confirmar a sincronização de equipes:
- Se você tiver acesso ao IdP, clique em Enable team synchronization (Habilitar sincronização de equipes). Você será redirecionado para a página do SAML SSO do provedor de identidade e precisará selecionar sua conta e revisar as permissões solicitadas.
- Se você não tiver acesso ao IdP, copie o link de redirecionamento do IdP e compartilhe-o com o administrador do IdP para continuar habilitando a sincronização de equipes.
-
Reveja as informações do encarregado do provedor de identidade que você deseja conectar à organização e clique em Approve (Aprovar).
Os mantenedores de equipe e os proprietários da organização podem conectar uma equipe a um grupo de IdP por meio da API ou das configurações de equipe no GitHub. Para obter mais informações, consulte "Criar uma equipe e conectá-la a um grupo de IdP", "Alterar os grupos de IdP conectados de uma equipe" ou "Sincronização de equipes" no documentação do GitHub Developer.
Criar uma equipe e conectá-la a um grupo de IdP
Depois que a sincronização de equipes estiver habilitada, você poderá criar uma equipe e conectá-la a um grupo de IdP se:
-
Você tiver o SAML SSO habilitado para a organização. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".
-
Você se autenticar usando o SAML SSO. Para obter mais informações, consulte "Autenticar com logon único de SAML".
-
Você for mantenedor de equipe ou proprietário da organização. Para obter mais informações, consulte "Permissões de acesso no GitHub".
Observação: se você tiver permissões para criar uma equipe na organização, poderá criar uma nova equipe e se tornar mantenedor de equipe por padrão. Os proprietários da organização podem limitar a criação de equipes a proprietários da organização ou permitir que qualquer integrante dela crie equipes. Para obter mais informações, consulte "Configurar permissões de criação de equipes na organização".
É possível conectar até cinco grupos de IdP a uma equipe do GitHub, e um grupo de IdP pode ser atribuído a várias equipes do GitHub sem restrição.
Como equipes principais não são capazes de sincronizar com grupos de IdP, a nova equipe pode ser secundária, mas não principal. Para obter mais informações, consulte "Sobre equipes".
-
In the top right corner of GitHub, click your profile photo, then click Your profile.
-
On the left side of your profile page, under "Organizations", click the icon for your organization.
-
Under your organization name, click Settings.
-
Under your organization name, click Teams.
-
On the right side of the Teams tab, click New team.
-
Under "Create new team", type the name for your new team.
-
Optionally, in the "Description" field, type a description of the team.
-
No nome do provedor de identidade, escolha um grupo de IdP usando o menu suspenso ou a busca por prefixo, que utiliza as três primeiras letras do nome do grupo.
A conexão de uma equipe a um grupo de IdP pode remover alguns integrantes da equipe. Para obter mais informações, consulte "Requisitos para integrantes de equipes sincronizadas".
-
Decide whether the team will be visible or secret.
-
Click Create team.
Para selecionar os repositórios da organização aos quais você deseja que os integrantes da equipe tenham acesso por padrão, consulte "Gerenciar o acesso da equipe a um repositório da organização". Os grupos de IdP conectados terão acesso automaticamente a esses repositórios.
O bot de sincronização de equipes do GitHub adicionará integrantes automaticamente à equipe do GitHub com base nos grupos de IdP conectados.
Alterar os grupos de IdP conectados de uma equipe
Depois que a sincronização de equipes estiver habilitada, você poderá criar uma equipe e conectá-la a um grupo de IdP se:
- Você tiver o SAML SSO habilitado para a organização. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".
- Você se autenticar usando o SAML SSO. Para obter mais informações, consulte "Autenticar com logon único de SAML".
- Você for mantenedor de equipe ou proprietário da organização. Para obter mais informações, consulte "Permissões de acesso no GitHub".
Depois que as equipes do GitHub estiverem conectadas a um grupo de IdP, o administrador do IdP deve fazer as alterações na associação a equipes por meio do IdP.
Você não pode conectar um grupo de IdP a uma equipe principal do GitHub, mas pode conectar a uma equipe secundária. Para obter mais informações, consulte "Sobre equipes". Recomendamos criar uma nova equipe ou remover as relações aninhadas que tornam a sua equipe uma equipe principal. Para obter mais informações, consulte "Mover uma equipe na hierarquia da organização" ou "Criar uma equipe e conectá-la a um grupo de IdP".
É possível conectar até cinco grupos de IdP a uma equipe do GitHub, e um grupo de IdP pode ser atribuído a várias equipes do GitHub sem restrição.
-
In the top right corner of GitHub, click your profile photo, then click Your profile.
-
On the left side of your profile page, under "Organizations", click the icon for your organization.
-
Under your organization name, click Settings.
-
Under your organization name, click Teams.
-
Selecione a equipe para a qual deseja alterar os grupos de IdP conectados.
-
Como alternativa, para evitar a remoção involuntária de membros da equipe, visite o portal de administração do provedor de identidade e confirme se cada integrante da equipe atual também está nos grupos de identidade que você deseja conectar a essa equipe. Se você não tiver acesso ao provedor de identidade, entre em contato com o administrador do IdP.
-
No nome do provedor de identidade, escolha um grupo de IdP usando o menu suspenso ou a busca por prefixo, que utiliza as três primeiras letras do nome do grupo.
A conexão de uma equipe a um grupo de IdP pode remover alguns integrantes da equipe. Para obter mais informações, consulte "Requisitos para integrantes de equipes sincronizadas".
-
Como alternativa, para desconectar um grupo de IdP conectado, clique em à direita do nome do grupo de IdP conectado. Qualquer integrante da equipe que esteja atribuído à equipe do GitHub por meio do grupo de IdP será removido da equipe.
-
Para confirmar, clique em Save changes (Salvar alterações).
Para modificar os repositórios da organização aos quais você deseja que os integrantes da equipe tenham acesso por padrão, consulte "Gerenciar o acesso da equipe a um repositório da organização". Os grupos de IdP conectados terão acesso automaticamente a esses repositórios.
Desabilitar a sincronização de equipes
Quando você desabilita a sincronização de equipes, qualquer integrante da equipe que esteja atribuído a uma equipe do GitHub por meio do grupo de IdP é removido da equipe e pode perder o acesso aos repositórios.
-
In the top right corner of GitHub, click your profile photo, then click Your profile.
-
On the left side of your profile page, under "Organizations", click the icon for your organization.
-
Under your organization name, click Settings.
-
In the organization settings sidebar, click Security.
-
Em "Team synchronization" (Sincronização de equipes), clique em Disable team synchronization (Desabilitar sincronização de equipes).