Gerenciando associações de equipes com grupos de provedores de identidade

Conecte grupos IdP com equipes em GitHub para gerenciar a associação de equipes e organizações por meio do seu provedor de identidade.

Neste artigo

Sobre gerenciamento de equipe com SCIM

Se você tiver configurado o provisionamento do SCIM, poderá gerenciar a associação à equipe e à organização na sua empresa por meio do IdP conectando as equipes do GitHub aos grupos no IdP.

As seções a seguir explicam como GitHub usa os trabalhos de provisionamento e tarefas de reconciliação SCIM para manter a associação de membros de equipe e organização em sincronia com seu IdP.

Quando GitHub recebe uma chamada de API SCIM de grupo do seu IdP, gera external_group.scim_api_success ou external_group.scim_api_failure um evento no log de auditoria da empresa. Esses eventos capturam informações detalhadas sobre a chamada, incluindo o payload e a operação realizada, e são registrados no log de auditoria com o ator definido como o usuário built-in/local user, a conta usada para configurar o provisionamento SCIM.

Uma vez que GitHub armazena os dados do grupo no nível empresarial, ele executa um trabalho de reconciliação diária para sincronizar a associação da equipe com os dados armazenados do grupo IdP. Essa reconciliação também é executada sempre que uma chamada à API SCIM de grupos atualiza a associação de membros do grupo e, caso um administrador vincule ou desvincule uma equipe de um grupo armazenado.

Quando uma alteração em um grupo de IdP ou em uma nova conexão de equipe resulta em um usuário ingressando em uma equipe em uma organização da qual ele ainda não era membro, GitHub adiciona automaticamente o usuário à organização. Quando você desvincula um grupo de uma equipe, GitHub remove os usuários que se tornaram membros da organização através de associação à equipe, se eles não tiverem outra forma de associação à organização.

As equipes conectadas a grupos de IdP não podem ser equipes principais de outras equipes nem uma equipe secundária de outra equipe. Se a equipe que você deseja conectar a um grupo de IdP for uma equipe principal ou secundária recomendamos criar uma nova equipe ou remover a relação aninhada que faças da sua equipe uma equipe principal.

Para gerenciar o acesso ao repositório para qualquer equipe em sua empresa, incluindo equipes conectadas a um grupo de IdP, você deverá fazer alterações no GitHub. Para saber mais, confira Gerenciar o acesso da equipe em um repositório da organização.

Requisitos para conectar grupos de IdP às equipes

Antes de poder conectar um grupo IdP com uma equipe em GitHub, você deve atribuir o grupo ao aplicativo relevant em seu IdP. Para saber mais, confira Configurando o provisionamento de SCIM para o gerenciamento de usuários.

É possível conectar uma equipe da sua empresa a um grupo de IdP. Você pode atribuir o mesmo grupo do IdP a várias equipes na sua empresa.

Se você estiver conectando uma equipe existente a um grupo de IdP, primeiro você deverá remover todos os integrantes que foram adicionados manualmente. Depois de conectar uma equipe da sua empresa a um grupo do IdP, o administrador do IdP deverá realizar as alterações na associação da equipe por meio do provedor de identidade. Você não pode gerenciar diretamente os membros da equipe no GitHub.

Se você usar Microsoft Entra ID (anteriormente conhecido como Azure AD) como seu IdP, só poderá conectar uma equipe a um grupo de segurança. Não há compatibilidade com associações de grupo aninhado e grupos do Microsoft 365.

Como sincronizar uma equipe corporativa

Os proprietários corporativos podem criar equipes no nível empresarial.

A maioria das instruções neste artigo se aplicam às equipes no nível da organização. Para obter instruções sobre como criar uma equipe corporativa e sincronizá-la com um grupo IdP, confira Como criar equipes corporativas.

Como criar uma equipe de organização conectada a um grupo de IdP

Qualquer integrante de uma organização pode criar uma nova equipe e conectar a equipe a um grupo de IdP.

  1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  2. Clique no nome da sua organização.

  3. No nome da organização, clique em Teams.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia rotulada com um ícone de pessoas e "Equipes" tem um contorno laranja escuro.

  4. Na parte superior da página, clique em Nova equipe.

  5. Em "Create new team" (Criar nova equipe), digite o nome para sua nova equipe.

  6. Opcionalmente, no campo "Descrição", digite uma descrição da equipe.

  7. Para conectar uma equipe, em "Grupos de Provedores de Identidade", selecione o menu suspenso Selecionar Grupos e clique na equipe que você deseja conectar.

  8. Em "Visibilidade da equipe", selecione uma visibilidade para a equipe.

  9. Clique em Criar equipe.

Como gerenciar a conexão entre uma equipe da organização existente e um grupo de IdP

Os proprietários da organização e os mantenedores de equipe podem gerenciar a conexão existente entre um grupo de IdP e uma equipe.

Observação

Para você conectar uma equipe existente no GitHub a um grupo de IdP pela primeira vez, todos os membros da equipe do GitHub precisam ser removidos primeiro. Para saber mais, confira Remover integrantes da organização de uma equipe.

  1. No canto superior à direita do GitHub, clique na sua imagem de perfil e em Your profile.

    Captura de tela do menu suspenso na imagem de perfil de @octocat. "Seu perfil" está contornado em laranja escuro.

  2. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

  3. No nome da organização, clique em Teams.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia rotulada com um ícone de pessoas e "Equipes" tem um contorno laranja escuro.

  4. Clique no nome da equipe.

  5. Na parte superior da página da equipe, clique em Settings.

    Captura de tela do cabeçalho da página de uma equipe. Uma guia rotulada com um ícone de engrenagem e "Configurações" tem o contorno em laranja escuro.

  6. Opcionalmente, em "Grupo de Provedores de Identidade", à direita do grupo do IdP que deseja desconectar, clique em .

           ![Desmarque um grupo IdP conectado da equipe do GitHub.](/assets/images/enterprise/github-ae/teams/unselect-idp-group.png)

  7. Para conectar um grupo de IdP, em "Grupo de Fornecedores de Identidade", selecione o menu suspenso e clique em um grupo de provedores de identidade da lista.

           ![Menu suspenso usado para escolher o grupo de provedores de identidade.](/assets/images/enterprise/github-ae/teams/choose-an-idp-group.png)

  8. Selecione Salvar alterações.

Visualizando grupos de IdP, membresia de grupo e equipes conectadas

Os proprietários de empresas podem revisar uma lista de grupos IdP, os membros de cada grupo e todas as equipes conectadas a cada grupo. Os grupos de IdP e associações listadas nesta exibição são baseados em informações enviadas do IdP para GitHub via SCIM. Você deve editar a associação de um grupo no seu IdP.

  1. No canto superior à direita do GitHub Enterprise Server, clique na sua imagem do perfil e clique em Configurações da empresa.
  2. Para examinar uma lista de grupos de IdP, na barra lateral esquerda, clique em Identity provider.
  3. Para ver os integrantes e equipes conectados a um grupo do IdP, clique no nome do grupo.
    1. Em Identity provider, clique em Groups.
  5. Para ver as equipes conectadas ao grupo de IdP, clique em Equipes.

Se uma equipe não puder se sincronizar com o grupo em seu IdP, a equipe exibirá um erro. Para saber mais, confira Solucionar problemas de subscrição de equipe com grupos de provedores de identidade.

Como remover membros de organizações

A maneira como um membro é adicionado a uma organização pertencente à empresa determina como ele deve ser removido de uma organização.

  • Se um membro tiver sido adicionado a uma organização manualmente, você deverá removê-lo manualmente. Ao desatribuí-los do aplicativo relevant em seu IdP, o usuário será suspenso, mas não removido da organização.
  • Se um usuário tiver se tornado membro de uma organização por ter sido adicionado a grupos de IdP, remova-o de todos os grupos de IdP mapeados associados à organização.

Para descobrir como um membro foi adicionado a uma organização, você pode filtrar a lista de membros por tipo. Confira Visualizar pessoas na sua empresa.