Синхронизация команды с группой поставщика удостоверений

Вы можете синхронизировать команду GitHub с поддерживаемой группой поставщика удостоверений (IdP), чтобы автоматически добавлять и удалять участников группы.

Кто может использовать эту функцию?

Organization owners can synchronize a GitHub team with an IdP group.

В этой статье

Примечание.

Если ваше предприятие использует Enterprise Managed Users, вам не нужно использовать синхронизацию команд. Вместо этого вы можете управлять членством в команде с помощью конфигурации SCIM, созданной при настройке предприятия. Дополнительные сведения см. в разделе Управление членством в группах поставщиков удостоверений.

Синхронизация команд

Если синхронизация команд включена для вашей организации или корпоративной учетной записи, можно синхронизировать команду GitHub с группой поставщика удостоверений. При этом изменения членства в группе поставщика удостоверений отражаются автоматически на GitHub и снижают потребность в обновлениях вручную и пользовательских скриптах. Дополнительные сведения см. в разделе [AUTOTITLE и Управление синхронизацией команд в организации](/admin/identity-and-access-management/managing-iam-for-your-enterprise/managing-team-synchronization-for-organizations-in-your-enterprise).

Вы можете подключить до пяти групп поставщика удостоверений к команде GitHub . Группу поставщика удостоверений можно назначить нескольким командам GitHub .

При синхронизации команды группы поставщика удостоверений с более чем 5000 участниками не поддерживаются.

После подключения команды GitHub к группе поставщика удостоверений администратор поставщика удостоверений должен внести изменения в членство в команде посредством поставщика удостоверений. Вы не можете управлять членством в команде на GitHub или с помощью API.

Если организация принадлежит корпоративной учетной записи, включение синхронизации команд для корпоративной учетной записи переопределит параметры синхронизации команды на уровне организации. Дополнительные сведения см. в разделе Управление синхронизацией команд для организаций на предприятии.

Синхронизация групп не является службой подготовки пользователей и не приглашает участников присоединиться к организациям в большинстве случаев. Это означает, что пользователь будет успешно добавлен в команду, если он уже является членом организации. Однако при необходимости можно разрешить синхронизацию команд повторно приглашать пользователей, которые ранее были членами организации и с тех пор были удалены. Дополнительные сведения см. в разделе [AUTOTITLE и Управление синхронизацией команд в организации](/admin/identity-and-access-management/using-saml-for-enterprise-iam/managing-team-synchronization-for-organizations-in-your-enterprise#managing-whether-team-synchronization-can-invite-non-members-to-organizations).

Все изменения членства в команде, внесенные с помощью поставщика удостоверений, будут отображаться в журнале аудита на GitHub в качестве изменений, внесенных ботом синхронизации команды. Синхронизация групп будет получить сведения о группе от поставщика удостоверений по крайней мере один раз в час и отражает любые изменения членства в группе idP в GitHub. Подключение команды к группе поставщика удостоверений может привести к удалению некоторых участников команды. Дополнительные сведения см. в разделе "Требования" для членов синхронизированных команд.

Родительские команды невозможно синхронизировать с группами поставщика удостоверений. Если команда, которую вы хотите подключить к группе поставщика удостоверений, является родительской командой, рекомендуется создать новую команду или удалить вложенные связи, которые делают вашу команду родительской. Дополнительные сведения см. в разделе AUTOTITLE, [AUTOTITLE[ и Сведения о командах организации](/organizations/organizing-members-into-teams/creating-a-team).](/organizations/organizing-members-into-teams/moving-a-team-in-your-organizations-hierarchy)

Чтобы управлять доступом к репозиторию для любой команды GitHub, включая команды, подключенные к группе поставщика удостоверений, необходимо внести изменения с помощью GitHub. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения о командах организации](/organizations/managing-user-access-to-your-organizations-repositories/managing-repository-roles/managing-team-access-to-an-organization-repository).

Для управления синхронизацией команд можно также использовать API. Дополнительные сведения см. в разделе Конечные точки REST API для синхронизации групп.

Требования для участников синхронизированных команд

После подключения команды к группе поставщика удостоверений синхронизация команд добавит каждого члена группы поставщика удостоверений в соответствующую команду на GitHub только в следующих случаях:

  • Если синхронизация команд не разрешена приглашать участников в вашу организацию, пользователь уже является членом организации на GitHub.
  • Пользователь уже выполнил вход с помощью личная учетная запись на GitHub и прошел проверку подлинности в организации или корпоративной учетной записи через единый вход SAML по крайней мере один раз.
  • Удостоверение единого входа пользователя является членом группы поставщика удостоверений.

Существующие команды или члены групп, которые не соответствуют этим критериям, будут автоматически удалены из команды по GitHub и теряют доступ к репозиториям. Отмена связанного удостоверения пользователя также приведет к удалению пользователя из всех команд, сопоставленных с группами поставщика удостоверений. Дополнительные сведения см. в разделе [AUTOTITLE и Просмотр доступа SAML участника к вашей организации и управление им](/enterprise-cloud@latest/admin/user-management/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise#viewing-and-revoking-a-linked-identity).

Удаленного участника команды можно добавить обратно в команду автоматически после проверки подлинности в учетной записи организации или предприятия с помощью единого входа и перемещения в подключенную группу поставщика удостоверений.

Чтобы избежать непреднамеренного удаления участников команды, рекомендуется принудительно применить единый вход SAML в учетной записи вашей организации или предприятия, создать новые команды для синхронизации данных о членстве и проверять членство в группах поставщика удостоверений перед синхронизацией существующих команд. Дополнительные сведения см. в разделе [AUTOTITLE и Применение единого входа SAML для вашей организации](/enterprise-cloud@latest/admin/identity-and-access-management/using-saml-for-enterprise-iam/configuring-saml-single-sign-on-for-your-enterprise).

Необходимые компоненты

Чтобы подключить команду на GitHub к группе поставщика удостоверений, команда должна уже существовать в вашей организации. Даже если вы настроили подготовку SCIM, создание группы в idP не автоматически создает команду на GitHub.

Прежде чем подключить команду GitHub с группой поставщика удостоверений, организация или владелец предприятия должна включить синхронизацию команд для вашей организации или корпоративной учетной записи. Дополнительные сведения см. в разделе [AUTOTITLE и Управление синхронизацией команд в организации](/enterprise-cloud@latest/admin/identity-and-access-management/using-saml-for-enterprise-iam/managing-team-synchronization-for-organizations-in-your-enterprise).

Чтобы избежать непреднамеренного удаления участников команды, перейдите на портал администрирования поставщика удостоверений и убедитесь, что каждый текущий участник команды также входит в группы поставщика удостоверений, к которым вы хотите подключить эту команду. Если у вас нет такого доступа к поставщику удостоверений, можете обратиться к администратору поставщика удостоверений.

Необходимо пройти проверку подлинности с помощью единого входа SAML. Дополнительные сведения см. в разделе Проверка подлинности с помощью единого входа.

Подключение группы поставщика удостоверений к команде

При подключении группы поставщика удостоверений к команде GitHub все пользователи группы автоматически добавляются в команду.

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Щелкните название своей организации.

  3. Под именем организации щелкните Teams.

    Снимок экрана: горизонтальная панель навигации для организации. Вкладка, помеченная значком "Люди" и "Teams", описывается в темно-оранжевый цвет.

  4. Щелкните имя команды.

  5. В верхней части страницы команды щелкните Settings.

    Снимок экрана: заголовок страницы команды. Вкладка, помеченная значком шестеренки и "Параметры", выделена темно-оранжевым цветом.

  6. В разделе "Группы поставщиков удостоверений" выберите раскрывающееся меню "Выбор групп " и выберите до 5 групп поставщиков удостоверений.

  7. Нажмите кнопку Сохранить изменения.

Отключение группы поставщика удостоверений от команды

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Щелкните название своей организации.

  3. Под именем организации щелкните Teams.

    Снимок экрана: горизонтальная панель навигации для организации. Вкладка, помеченная значком "Люди" и "Teams", описывается в темно-оранжевый цвет.

  4. Щелкните имя команды.

  5. В верхней части страницы команды щелкните Settings.

    Снимок экрана: заголовок страницы команды. Вкладка, помеченная значком шестеренки и "Параметры", выделена темно-оранжевым цветом.

  6. В разделе "Группы поставщиков удостоверений" справа от группы поставщика удостоверений, которую вы хотите отключить, щелкните .

  7. Нажмите кнопку Сохранить изменения.