Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen

Verbinden Sie IdP-Gruppen mit Teams auf GitHub, um Team- und Organisationsmitgliedschaften über Ihren Identitätsanbieter zu verwalten.

In diesem Artikel

Über Teammanagement mit SCIM

Wenn du SCIM-Bereitstellung konfiguriert hast, kannst du die Team- und Organisationsmitgliedschaft in deinem Unternehmen über den IdP verwalten, indem du Teams auf GitHub mit Gruppen auf deinem IdP verknüpfst.

In den folgenden Abschnitten wird erläutert, wie GitHub SCIM-Bereitstellungs- und Abgleichsaufträge verwendet, um die Mitgliedschaften in Teams und Organisationen mit Ihrem IdP zu synchronisieren.

Wenn GitHub einen Gruppen-SCIM-API-Aufruf von Ihrem IdP erhält, wird im Audit-Protokoll des Unternehmens ein external_group.scim_api_success- oder external_group.scim_api_failure-Ereignis generiert. Diese Ereignisse erfassen detaillierte Informationen zum Aufruf, einschließlich der ausgeführten Nutzlast und des ausgeführten Vorgangs und werden im Überwachungsprotokoll aufgezeichnet, wobei der Akteur auf den integrierten/lokalen Benutzereinrichtungsbenutzer festgelegt ist, das Konto, das zum Konfigurieren der SCIM-Bereitstellung verwendet wird.

Sobald GitHub die Gruppendaten auf Unternehmensebene gespeichert hat, führt es täglich einen Abgleichsprozess aus, um die Teammitgliedschaft mit den gespeicherten IdP-Gruppendaten zu synchronisieren. Diese Abstimmung wird auch ausgeführt, wenn ein Gruppen-SCIM-API-Aufruf die Gruppenmitgliedschaft aktualisiert, und wenn ein Administrator ein Team mit einer gespeicherten Gruppe verknüpft oder die Verknüpfung aufhebt.

Wenn eine Änderung an einer IdP-Gruppe oder einer neuen Teamverbindung dazu führt, dass ein Benutzer einem Team in einer Organisation beitritt, bei dem er noch nicht Mitglied war, GitHub fügt er dem Unternehmen automatisch den Benutzer hinzu. Wenn Sie eine Gruppe von einem Team trennen, entfernt GitHub Benutzer, die über die Teammitgliedschaft Mitglieder der Organisation geworden sind, wenn sie nicht auf anderem Weg Mitglied der Organisation sind.

Teams, die mit IdP-Gruppen verbunden sind, können keine übergeordneten Elemente anderer Teams oder ein untergeordnetes Element eines anderen Teams sein. Wenn das Team, das du mit einer IdP-Gruppe verbinden möchtest, ein übergeordnetes oder untergeordnetes Team ist, empfehlen wir, ein neues Team zu erstellen oder die verschachtelten Beziehungen zu entfernen, die aus deinem Team ein übergeordnetes Team machen.

Um den Repositoryzugriff für beliebige Teams in Ihrem Unternehmen zu verwalten, einschließlich Teams, die mit einer IdP-Gruppe verbunden sind, müssen Sie die Änderungen auf GitHub vornehmen. Weitere Informationen finden Sie unter Den Teamzugriff auf ein Repository einer Organisation verwalten.

Anforderungen für die Verbindung von IdP-Gruppen mit Teams

Bevor Sie eine IdP-Gruppe einem Team auf GitHub zuordnen können, müssen Sie die Gruppe der entsprechenden Anwendung in Ihrem IdP zuweisen. Weitere Informationen finden Sie unter Konfigurieren der SCIM-Bereitstellung zum Verwalten von Benutzern.

Du kannst ein Team in deinem Unternehmen mit einer IdP-Gruppe verbinden. Du kannst der gleichen IdP-Gruppe mehrere Teams in deinem Unternehmen zuweisen.

Wenn du ein vorhandenes Team mit einer IdP-Gruppe verbindest, musst du zuerst alle Mitglieder entfernen, die manuell hinzugefügt wurden. Nachdem du ein Team in einem Unternehmen mit einer IdP-Gruppe verbunden hat, muss deine IdP-Administratorin über den Identitätsanbieter Änderungen an der Teammitgliedschaft vornehmen. Sie können die Teammitgliedschaft nicht direkt auf GitHub verwalten.

Wenn Sie Microsoft Entra ID (früher als Azure AD bezeichnet) als IdP verwenden, können Sie nur ein Team mit einer Sicherheitsgruppe verbinden. Geschachtelte Gruppenmitgliedschaften und Microsoft 365 Gruppen werden nicht unterstützt.

Synchronisieren eines Unternehmensteams

Unternehmensbesitzende können Teams auf Unternehmensebene erstellen.

Die meisten Anweisungen in diesem Artikel gelten für Teams auf Organisationsebene. Anweisungen zum Erstellen eines Unternehmensteams und zum Synchronisieren mit einer Identitätsanbietergruppe findest du unter Erstellen von Unternehmensteams.

Erstellen eines neuen Organisationsteams, das mit einer IdP-Gruppe verbunden ist.

Jedes Mitglied einer Organisation kann ein neues Team erstellen und das Team mit einer IdP-Gruppe verbinden.

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  2. Klicke auf den Namen Deiner Organisation.

  3. Klicke unter dem Namen deiner Organisation auf Teams.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Personensymbol und der Bezeichnung „Teams“ ist durch eine dunkelorange Umrandung hervorgehoben.

  4. Klicke oben auf der Seite auf Neues Team.

  5. Unter „Create new team" (Neues Team erstellen) gib den Namen für Dein neues Team ein.

  6. Gib optional im Feld „Description" (Beschreibung) eine Beschreibung des Teams ein.

  7. Um ein Team zu verbinden, wähle unter „Identitätsanbietergruppen“ das Dropdownmenü Gruppen auswählen aus, und klicke auf das Team, das du verbinden möchtest.

  8. Wähle unter „Teamsichtbarkeit“ eine Sichtbarkeit für das Team aus.

  9. Klicke auf Team erstellen.

Verwalten der Verbindung zwischen einem vorhandenen Organisationsteam und einer Identitätsanbietergruppe

Organisationsbesitzer und Teambetreuer können die vorhandene Verbindung zwischen einer IdP-Gruppe und einem Team verwalten.

Hinweis

Bevor Sie ein vorhandenes Team GitHub zum ersten Mal mit einer IdP-Gruppe verbinden, müssen alle Mitglieder des Teams GitHub zuerst entfernt werden. Weitere Informationen finden Sie unter Organisationsmitglieder aus einem Team entfernen.

  1. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your profile.

    Screenshot des Dropdownmenüs unter dem Profilbild von @octocat. „Dein Profil“ ist in dunklem Orange eingerahmt.

  2. Klicke in der rechten oberen Ecke von GitHub auf dein Profilbild und dann auf Your organizations.

  3. Klicke unter dem Namen deiner Organisation auf Teams.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Personensymbol und der Bezeichnung „Teams“ ist durch eine dunkelorange Umrandung hervorgehoben.

  4. Klicke auf den Namen des Teams.

  5. Klicke oben auf der Teamseite auf Settings.

    Screenshot der Kopfzeile einer Teamseite. Eine Registerkarte ist mit einem Zahnradsymbol und „Einstellungen“ beschriftet und dunkelorange umrandet.

  6. Optional klicken Sie unter „Identitätsanbietergruppe“ rechts neben der IdP-Gruppe, deren Verbindung Sie trennen möchten, auf .

Entfernen Sie eine verbundene IdP-Gruppe aus dem GitHub-Team.

  1. Um eine IdP-Gruppe zu verbinden, wähle im Dropdown-Menü unter „Identitätsanbietergruppe“ eine Identitätsanbietergruppe aus der Liste aus.

Dropdownmenü zur Auswahl von Identitätsanbietergruppen

  1. Klicken Sie auf Änderungen speichern.

Anzeigen von IdP-Gruppen, Gruppenmitgliedschaften und verbundenen Teams

Unternehmensbesitzer*innen können eine Liste von IdP-Gruppen, die Mitgliedschaften der einzelnen Gruppen und alle Teams, die mit den einzelnen Gruppen verbunden sind, überprüfen. Die in dieser Ansicht aufgeführten IdP-Gruppen und Mitgliedschaften basieren auf Informationen, die vom IdP über SCIM an GitHub übermittelt werden. Du musst die Mitgliedschaft für eine Gruppe in deinem IdP bearbeiten.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.
  2. Um eine Liste der Identitätsanbietergruppen zu überprüfen, klicke auf der linken Randleiste auf Identity provider.
  3. Um die Mitglieder und Teams anzuzeigen, die mit einer IdP-Gruppe verbunden sind, klicke auf den Namen der Gruppe.
    1. Klicke unter Identity provider auf die Option Groups.
  5. Klicke zum Anzeigen der Teams, die mit der IdP-Gruppe verbunden sind, auf Teams.

Wenn ein Team nicht mit der Gruppe beim IdP synchronisiert werden kann, zeigt das Team einen Fehler an. Weitere Informationen finden Sie unter Fehlerbehebung bei der Teammitgliedschaft mit Gruppen von Identitätsanbietern.

Entfernen von Mitgliedern aus Organisationen

Die Art, wie Mitglieder zu einer Organisation hinzugefügt werden, die Ihrem Unternehmen gehört, bestimmt, wie sie aus einer Organisation entfernt werden müssen.

  • Wenn ein Mitglied einer Organisation manuell hinzugefügt wurde, musst du es manuell entfernen. Wenn Sie ihre Zuweisung zur entsprechenden Anwendung in Ihrem IdP aufheben, wird der Benutzer gesperrt, aber nicht aus der Organisation entfernt.
  • Wenn ein Benutzer Mitglied einer Organisation wurde, weil er zu IdP-Gruppen hinzugefügt wurde, entfernen Sie ihn aus allen zugeordneten IdP-Gruppen, die mit der Organisation verknüpft sind.

Um zu ermitteln, wie ein Mitglied einer Organisation hinzugefügt wurde, kannst du die Mitgliederliste nach Typ filtern. Siehe Anzeigen von Personen in deinem Unternehmen.