Sincronizar equipes entre o provedor de identidade e o GitHub

Sobre a sincronização de equipes

Quando você sincroniza uma equipe do GitHub com um grupo de IdP, a alterações no grupo são refletidas no GitHub automaticamente, reduzindo a necessidade de atualizações manuais e scripts personalizados. You can use an IdP with team synchronization to manage administrative tasks such as onboarding new members, granting new permissions for movements within an organization, and removing member access to the organization or enterprise account.

Depois que as equipes do GitHub estiverem conectadas a um grupo de IdP, o administrador do IdP deve fazer as alterações na associação a equipes por meio do provedor de identidade. Em equipes conectadas a um grupo de IdP, a UI e a API do GitHub para gerenciar a associação a equipes são desabilitadas.

Para gerenciar o acesso a repositórios de uma equipe do GitHub, inclusive equipes conectadas a um grupo de IdP, é preciso fazer alterações no GitHub usando a guia de repositórios da equipe. Para obter mais informações, consulte "Sobre equipes" e "Gerenciar o acesso da equipe ao repositório de uma organização". Também é possível fazer alterações por meio da API. Para obter mais informações, consulte "Sincronização de equipes" no documentação do GitHub Developer.

Todas as alterações na associação a equipes por meio do IdP serão exibidas no log de auditoria no GitHub como alterações feitas pelo bot de sincronização de equipes. Team membership data is sent from the IdP to GitHub once every hour.

You can enable team synchronization for organizations owned by enterprise accounts with SAML enabled. For more information, see "Enforcing security settings in your enterprise account."

Requisitos para integrantes de equipes sincronizadas

After you enable team synchronization, membership data for each team member will synchronize if the person continues to authenticate using SAML SSO with the same SSO identity on GitHub, and if the person remains a member of the connected IdP group.

Once you connect a team to an IdP group, existing teams or group members can be automatically removed from the team on GitHub. Any existing teams or group members not authenticating to the organization or enterprise account using SSO may lose access to repositories. Any existing teams or group members not in the connected IdP group may potentially lose access to repositories.

A removed team member can be added back to a team automatically once they have authenticated to the organization or enterprise account using SSO and are moved to the connected IdP group.

To avoid unintentionally removing team members, we recommend enforcing SAML SSO in your organization or enterprise account, creating new teams to synchronize membership data, and checking IdP group membership before synchronizing existing teams. For more information, see "Enforcing SAML single sign-on for your organization."

If your organization is owned by an enterprise account, enabling team synchronization for the enterprise account will override your organization-level team synchronization settings. For more information, see "Enforcing security settings in your enterprise account."

Habilitar a sincronização de equipes

Para habilitar a sincronização de equipes para uma organização do GitHub Enterprise Cloud, é preciso:

• Obtain administrative access to your IdP or work with your IdP administrator to configure the IdP integration and groups. If you are enabling team synchronization for Azure AD, you must be either a Global administrator or a Privileged Role administrator.
• Enable SAML single sign-on for your organization, your supported IdP, and your enterprise account. For more information, see "Enforcing SAML single sign-on for your organization" and "Enforcing security settings in your enterprise account."
• Autenticar-se usando o SAML SSO para a organização e o IdP compatível. Para obter mais informações, consulte "Autenticar com logon único de SAML".

A instalação do Azure AD precisa das seguintes permissões:

• Ler os perfis completos de todos os usuários
• Entrar e ler o perfil do usuário
• Ler dados do diretório

1. In the top right corner of GitHub, click your profile photo, then click Your profile.
   
2. On the left side of your profile page, under "Organizations", click the icon for your organization.
   
3. Under your organization name, click Settings.
   
4. In the organization settings sidebar, click Security.
   
5. Confirme que o SAML SSO está habilitado. For more information, see "Gerenciar logon único de SAML para sua organização".
6. Em "Team synchronization" (Sincronização de equipes), clique em Enable for your identity provider (Habilitar para o provedor de identidade).
   
7. Para confirmar a sincronização de equipes:
   • Se você tiver acesso ao IdP, clique em Enable team synchronization (Habilitar sincronização de equipes). Você será redirecionado para a página do SAML SSO do provedor de identidade e precisará selecionar sua conta e revisar as permissões solicitadas.
   • Se você não tiver acesso ao IdP, copie o link de redirecionamento do IdP e compartilhe-o com o administrador do IdP para continuar habilitando a sincronização de equipes.
     
8. Reveja as informações do encarregado do provedor de identidade que você deseja conectar à organização e clique em Approve (Aprovar).
   

You can also enable team synchronization for organizations in your enterprise account. For more information, see "Enforcing security settings in your enterprise account."

Team maintainers, organization owners, and enterprise owners can connect a team to an IdP group through team settings on GitHub or through the API. For more information, see "Creating a team and connecting it to an IdP group," "Changing a team's connected IdP groups," or "Team synchronization" on documentação do GitHub Developer.

Criar uma equipe e conectá-la a um grupo de IdP

After you enable team synchronization, you can create a team and connect it to an IdP group if you:

• Você tiver o SAML SSO habilitado para a organização. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".

• Você se autenticar usando o SAML SSO. Para obter mais informações, consulte "Autenticar com logon único de SAML".

• Você for mantenedor de equipe ou proprietário da organização. For more information, see "Access permissions on GitHub."

  Observação: se você tiver permissões para criar uma equipe na organização, poderá criar uma nova equipe e se tornar mantenedor de equipe por padrão. Os proprietários da organização podem limitar a criação de equipes a proprietários da organização ou permitir que qualquer integrante dela crie equipes. Para obter mais informações, consulte "Configurar permissões de criação de equipes na organização".

É possível conectar até cinco grupos de IdP a uma equipe do GitHub, e um grupo de IdP pode ser atribuído a várias equipes do GitHub sem restrição.

Como equipes principais não são capazes de sincronizar com grupos de IdP, a nova equipe pode ser secundária, mas não principal. Para obter mais informações, consulte "Sobre equipes".

1. In the top right corner of GitHub, click your profile photo, then click Your profile.

   

2. On the left side of your profile page, under "Organizations", click the icon for your organization.

   

3. Under your organization name, click Settings.

   

4. Under your organization name, click Teams.

   

5. On the right side of the Teams tab, click New team.

   

6. Under "Create new team", type the name for your new team.

   

7. Optionally, in the "Description" field, type a description of the team.

   

8. No nome do provedor de identidade, escolha um grupo de IdP usando o menu suspenso ou a busca por prefixo, que utiliza as três primeiras letras do nome do grupo.

   A conexão de uma equipe a um grupo de IdP pode remover alguns integrantes da equipe. Para obter mais informações, consulte "Requisitos para integrantes de equipes sincronizadas".

   

9. Decide whether the team will be visible or secret.

   

10. Click Create team.

Para selecionar os repositórios da organização aos quais você deseja que os integrantes da equipe tenham acesso por padrão, consulte "Gerenciar o acesso da equipe a um repositório da organização". Os grupos de IdP conectados terão acesso automaticamente a esses repositórios.

O bot de sincronização de equipes do GitHub adicionará integrantes automaticamente à equipe do GitHub com base nos grupos de IdP conectados.

Alterar os grupos de IdP conectados de uma equipe

Depois que a sincronização de equipes estiver habilitada, você poderá criar uma equipe e conectá-la a um grupo de IdP se:

• Você tiver o SAML SSO habilitado para a organização. Para obter mais informações, consulte "Habilitar e testar logon único de SAML para sua organização".
• Você se autenticar usando o SAML SSO. Para obter mais informações, consulte "Autenticar com logon único de SAML".
• Você for mantenedor de equipe ou proprietário da organização. Para obter mais informações, consulte "Permissões de acesso no GitHub".

Depois que as equipes do GitHub estiverem conectadas a um grupo de IdP, o administrador do IdP deve fazer as alterações na associação a equipes por meio do IdP.

Você não pode conectar um grupo de IdP a uma equipe principal do GitHub, mas pode conectar a uma equipe secundária. Para obter mais informações, consulte "Sobre equipes". Recomendamos criar uma nova equipe ou remover as relações aninhadas que tornam a sua equipe uma equipe principal. For more information, see "Moving a team in your organization's hierarchy" or "Creating a team and connecting it to an IdP group."

É possível conectar até cinco grupos de IdP a uma equipe do GitHub, e um grupo de IdP pode ser atribuído a várias equipes do GitHub sem restrição.

1. In the top right corner of GitHub, click your profile photo, then click Your profile.

   

2. On the left side of your profile page, under "Organizations", click the icon for your organization.

   

3. Under your organization name, click Settings.

   

4. Under your organization name, click Teams.

   

5. Selecione a equipe para a qual deseja alterar os grupos de IdP conectados.

   

6. Como alternativa, para evitar a remoção involuntária de membros da equipe, visite o portal de administração do provedor de identidade e confirme se cada integrante da equipe atual também está nos grupos de identidade que você deseja conectar a essa equipe. Se você não tiver acesso ao provedor de identidade, entre em contato com o administrador do IdP.

7. No nome do provedor de identidade, escolha um grupo de IdP usando o menu suspenso ou a busca por prefixo, que utiliza as três primeiras letras do nome do grupo.

   A conexão de uma equipe a um grupo de IdP pode remover alguns integrantes da equipe. Para obter mais informações, consulte "Requisitos para integrantes de equipes sincronizadas".

   

8. Como alternativa, para desconectar um grupo de IdP conectado, clique em à direita do nome do grupo de IdP conectado. Qualquer integrante da equipe que esteja atribuído à equipe do GitHub por meio do grupo de IdP será removido da equipe.

   

9. Para confirmar, clique em Save changes (Salvar alterações).

Para modificar os repositórios da organização aos quais você deseja que os integrantes da equipe tenham acesso por padrão, consulte "Gerenciar o acesso da equipe a um repositório da organização". Os grupos de IdP conectados terão acesso automaticamente a esses repositórios.

Desabilitar a sincronização de equipes

Quando você desabilita a sincronização de equipes, qualquer integrante da equipe que esteja atribuído a uma equipe do GitHub por meio do grupo de IdP é removido da equipe e pode perder o acesso aos repositórios.

1. In the top right corner of GitHub, click your profile photo, then click Your profile.
   
2. On the left side of your profile page, under "Organizations", click the icon for your organization.
   
3. Under your organization name, click Settings.
   
4. In the organization settings sidebar, click Security.
   
5. Em "Team synchronization" (Sincronização de equipes), clique em Disable team synchronization (Desabilitar sincronização de equipes).