ID プロバイダー グループを使用したチーム メンバーシップのトラブルシューティング

ID プロバイダー (IdP) 上にあるグループを使用してチーム メンバーシップを管理しているが、チーム メンバーシップが同期していない場合は、問題をトラブルシューティングできます。

この機能を使用できるユーザーについて

Enterprise Managed Users で GitHub Enterprise Cloud を使用するエンタープライズ アカウントで使用できます。 「Enterprise Managed Users について」を参照してください。

この記事で

IdP グループを使用するチーム メンバーシップの管理について

Enterprise Managed Users では、GitHub 上のチームと IdP 上のグループを接続することで、IdP を介して Enterprise 内のチームと organization のメンバーシップを管理できます。 IdP グループに同期したチームの一覧は、企業の設定から確認できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」をご覧ください。

GitHub また、1 日に 1 回調整ジョブを実行します。チーム メンバーシップは、SCIM 経由で IdP から以前に送信された情報に基づいて、 GitHubに格納されている IdP グループ メンバーシップと同期されます。 このジョブで、あるユーザーがエンタープライズ内の IdP グループのメンバーであるが、マップされたチームまたはその組織のメンバーではないことが明らかになった場合、ジョブはそのユーザーを組織とチームに追加しようとします。

GitHub IdP 上のグループとチーム メンバーシップを同期できない場合は、エラー メッセージを表示し、問題のトラブルシューティングを行うことができます。

チームと IdP グループとの同期に関するエラーの表示

  1. 企業ページに移動してください。 たとえば、GitHub.com の [Enterprise] ページから。

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。

  3. IdP グループの一覧を確認するには、左側のサイドバーで [Identity provider] をクリックします。

  4. [ID プロバイダー] で、[グループ] をクリックします。

  5. グループの同期で問題が発生している場合は、次のメッセージが表示されます。"Some groups are failing to synchronize to teams. (一部のグループがチームとの同期に失敗しています)。 Check that you have available licenses. (使用可能なライセンスがあることを確認してください)"。

  6. Idp グループの一覧で、確認しようとするグループをクリックします。

  7. そのグループに関する同期エラーを確認するには、グループの名前の下にある [Teams (チーム)] をクリックします。

    チームが IdP 上にあるグループとメンバーシップを同期できない場合は、チーム名とメンバーシップ数の下に問題の説明が表示されます。

Error: "Out of sync due to insufficient licenses" (エラー: "ライセンスが不十分なことが原因で同期していません")

GitHub では、エンタープライズ レベルで Enterprise Managed Users の IdP グループ メンバーシップ データが格納されます。 このデータは、ID プロバイダー (IdP) からのグループ SCIM API 呼び出しを通じて設定および更新されます。

チームにマップされている IdP グループの場合、GitHubは毎日調整ジョブを実行して、チーム メンバーシップを格納されているエンタープライズ レベルの IdP グループ データと同期します。 調整は、グループ SCIM API 呼び出しがグループ メンバーシップを更新するとき、または管理者がGitHubに保存されているグループにチームをリンクまたはリンク解除するたびにも実行されます。

使用できるライセンスが企業にない場合は、 GitHub がこの同期を完了できない可能性があります。 これが発生すると、次のメッセージが表示されます。

"ライセンスが不十分なため、同期が切れている"

その結果、影響を受けるチームまたは組織にメンバーが不足している可能性があります。

[IdP group (Idp グループ)] ページのスクリーンショット。 team is out of sync due to insufficient licenses (ライセンスが不十分なことが原因でチームが同期していない) という警告は、濃いオレンジ色の枠線で囲まれています。

この問題を調査するには、エンタープライズの利用可能なライセンスの合計と、ライセンスを使用しているユーザーとその理由に関する詳細情報を確認します。 詳細については、「組織内でライセンスを消費する人々」および「GitHub Enterprise プランの使用状況の表示」を参照してください。

問題の解決

同期が正常に完了できるようにするには、次のいずれかの方法を使用して、追加のエンタープライズ ライセンスを使用できるようにします。

  • 既存のライセンスを解放する

    • ライセンスを使用しているユーザーと、まだアクセスが必要かどうかを特定します。
    • 組織とチーム メンバーシップの管理方法に応じて、必要に応じて組織または IdP グループからユーザーを削除します ( 企業内の従業員を表示する を参照)。
      • IdP グループを使用して組織のメンバーシップを管理する場合は、関連するグループからユーザーを削除します。
    • これらのエンタープライズ監査ログ イベントを監視して、グループ メンバーシップまたはマネージド ユーザー アカウントを更新する SCIM API 呼び出しを追跡します ( 企業向け監査ログイベント を参照してください。
      • external_group.scim_api_failure / external_group.scim_api_success
      • external_identity.scim_api_failure / external_identity.scim_api_success

  • 追加ライセンスを購入する

Error: "Out of sync" (エラー: "同期していません")

ライセンス以外の問題が原因で IdP 上のグループとチーム メンバーシップとの同期が失敗した場合は、"Out of sync" (同期していません) というメッセージが表示されます。

[IdP group (Idp グループ)] ページのスクリーンショット。 a team is out of sync (チームが同期していない) という警告は、濃いオレンジの枠線で囲まれています。

GitHub は、次の同期中に自動的にこの問題を解決しようとします。これは少なくとも 1 日に 1 回発生します。 影響を受けているチームを IdP グループからリンク解除し、同じグループにもう一度リンクすると、問題を解決できることがあります。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」をご覧ください。

問題が解決しない場合は、 GitHub Enterprise サポート に連絡し、問題が発生している組織、チーム、IdP グループに関する詳細を入力します。