ID プロバイダー グループを使用したチーム メンバーシップの管理

SCIM を使用したチーム管理について

SCIM プロビジョニングを構成した場合、GitHub 上のチームと IdP 上のグループを接続することで、IdP を介して Enterprise 内のチームと organization のメンバーシップを管理できます。

次のセクションでは、scim プロビジョニングと調整ジョブを使用して、チームと組織のメンバーシップを IdP と同期させるために、 GitHub がどのように使用されるかについて説明します。

GitHub IdP からグループ SCIM API 呼び出しを受信すると、エンタープライズ監査ログにexternal_group.scim_api_successまたはexternal_group.scim_api_failureイベントが生成されます。 これらのイベントは、実行されたペイロードや操作など、呼び出しに関する詳細情報をキャプチャし、SCIM プロビジョニングの構成に使用されるアカウントである**** 組み込み/ローカル ユーザーsetup ユーザーを使用して監査ログに記録されます。

GitHubエンタープライズ レベルでグループ データを格納すると、チーム メンバーシップと格納されている IdP グループ データを同期する日次調整ジョブが実行されます。 この調整は、グループ SCIM API 呼び出しによってグループ メンバーシップが更新されるたびに、管理者が保存されているグループにチームをリンクまたはリンク解除するたびにも実行されます。

IdP グループまたは新しいチーム接続を変更すると、ユーザーがまだメンバーではない組織内のチームにユーザーが参加すると、 GitHub 自動的にユーザーが組織に追加されます。 グループをチームから切断すると、 GitHub は、他の方法で組織のメンバーシップを持っていない場合、チーム メンバーシップを介して組織のメンバーになったユーザーを削除します。

IdP グループに接続されているチームは、他のチームの親や別のチームの子にすることはできません。 IdP グループに接続したいチームが親または子チームの場合、新しいチームを作るか、チームを親チームにしている入れ子関係を削除することをお勧めします。

IdP グループに接続されているチームを含め、社内の任意のチームのリポジトリ アクセスを管理するには、 GitHubに変更を加える必要があります。 詳しくは、「Organization のリポジトリに対するチームのアクセスを管理する」をご覧ください。

IdP グループを Team に接続するための要件

IdP グループを GitHub のチームに接続するには、そのグループを IdP の relevant アプリケーションに割り当てる必要があります。 詳しくは、「エンタープライズ マネージド ユーザー」をご覧ください。

エンタープライズ内のチームを 1 つの IdP グループに接続できます。 同じ IdP グループをエンタープライズ内の複数のチームに割り当てることができます。

既存のチームを IdP グループに接続する場合は、最初に手動で追加されたすべてのメンバーを削除する必要があります。 エンタープライズ内のチームを IdP グループに接続した後、IdP 管理者は ID プロバイダーを通じてチーム メンバーシップを変更する必要があります。 GitHubでチーム メンバーシップを直接管理することはできません。

IdP として Microsoft Entra ID (旧称 Azure AD) を使用する場合は、チームをセキュリティ グループにのみ接続できます。 入れ子になったグループ メンバーシップとMicrosoft 365 グループはサポートされていません。

Enterprise チームの同期

Enterprise の所有者は、Enterprise レベルでチームを作成できます。

この記事の手順のほとんどは、organization レベルのチームに適用されます。 Enterprise チームを作成して IdP グループと同期する手順については、「Enterprise チームの作成」をご覧ください。

IdP グループに接続された新しい organization team (組織チーム) の作成

組織のメンバーは、新しいチームを作成し、チームを IdP グループに接続できます。

1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

2. Organizationの名前をクリックしてください。

3. Organization 名の下にある [ Teams] をクリックします。

   

4. ページの上部にある [新しいチーム] をクリックします。

5. "Create new team（新規Teamの作成）"の下で、新しいTeamの名前を入力してください。

6. あるいは、"Description（説明）"フィールドにTeamの説明を入力してください。

7. チームを接続するには、[ID プロバイダー グループ] で [グループの選択] ドロップダウン メニューを選択し、接続するチームをクリックします。

8. [チームの表示] でチームの表示設定を選択します。

9. [Team の作成] をクリックします。

既存の organization team (組織チーム) と IdP グループ間の接続の管理

組織の所有者 チームの保守担当者 IdP グループとチームの間の既存の接続を管理できます。

1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[Your profile] をクリックします。

   

2. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。

3. Organization 名の下にある [ Teams] をクリックします。

   

4. チームの名前をクリックします。

5. チーム ページの上部にある [ Settings] をクリックします。

   

6. 必要に応じて、[ID プロバイダー グループ] で、切断する IdP グループの右側にある [ ] をクリックします。

1. IdP グループを接続するには、[Identity Provider Groups](ID プロバイダー グループ) で、ドロップダウン メニューを使用してリストから ID プロバイダー グループを選択します。

1. [ 変更の保存] をクリックします。

IdP グループ、グループ メンバーシップ、接続されたチームの表示

Enterprise の所有者は、IdP グループ、各グループのメンバーシップ、各グループに接続されている任意のチームの一覧を確認できます。 このビューに一覧表示されている IdP グループとメンバーシップは、IDP から SCIM 経由で GitHub に送信された情報に基づいています。 IdP のグループのメンバーシップを編集する必要があります。

1. GitHub Enterprise Server の右上隅にあるプロフィール画像をクリックしてから、[Enterprise settings] をクリックします。
2. IdP グループの一覧を確認するには、左側のサイドバーで [Identity provider] をクリックします。
3. IdP グループに接続されているメンバーとチームを表示するには、グループの名前をクリックします。
4. 1. [Identity provider] で、[Groups] をクリックします。
5. IdP グループに接続されているチームを表示するには、 [チーム] をクリックします。

あるチームが IdP 上のグループと同期できない場合、そのチーム宛にエラーが表示されます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップのトラブルシューティング」をご覧ください。

Organization (組織) からのメンバーの削除

Enterprise によって所有されている Organization (組織) にメンバーを追加する方法によって、Organization からメンバーを削除する方法が決まります。

• メンバーを手動で Organization (組織) に追加した場合、手動で削除する必要があります。 IdP 上の relevant アプリケーションから割り当てを解除すると、ユーザーは中断されますが、組織からは削除されません。
• あるユーザーが IdP グループに追加されたことが原因で、そのユーザーが organization (組織) のメンバーになった場合、その organization に関連付けられている すべて のマップされた IdP グループからユーザーを削除することができます。

メンバーが Organization に追加された方法を確認するには、メンバー リストを種類でフィルター処理できます。 「」を参照してください。企業内の従業員を表示する。