关于来宾协作者
注意
来宾协作者角色仅适用于Enterprise Managed Users。
你可以使用来宾协作者角色向供应商和承包商授予有限的访问权限。 来宾协作者:
- 与所有 托管用户帐户 一样,由 IdP 预配。
- 可以添加为组织成员或存储库中的协作者。
- 无法访问企业中的内部存储库,除非作为成员添加到组织中。
来宾协作者与常规用户之间的区别在于,将常规用户添加到一个组织时,他们可以自动访问企业 中的所有 内部存储库。
在 IdP 中启用外部协作者
如果使用 Microsoft Entra ID(以前称为 Azure AD)或 Okta 进行身份验证,您可能需要更新 IdP 中的 Enterprise Managed Users 应用程序。
使用 Entra ID 启用来宾协作者
-
登录到Microsoft Azure portal。
-
单击身份。
-
单击“应用程序”。
-
单击“企业应用程序”。****
-
单击“所有应用程序”****。
-
查看 Enterprise Managed Users 应用程序的详细信息。
-
在左边栏中,单击“用户和组”****。
-
查看应用程序注册。
- 如果应用程序注册显示“受限的用户”或“来宾协作者”角色,则可以邀请来宾协作者加入企业。
- 如果应用程序注册没有显示角色,请继续执行下一步。
-
在Azure门户中,单击App registrations。
-
单击“所有应用程序”****,然后使用搜索栏查找 Enterprise Managed Users 的应用程序。
-
单击你的 SAML 或 OIDC 应用程序。
-
在左侧边栏中,单击Manifest。
-
在清单文件中搜索以下
id:1ebc4a02-e56c-43a6-92a5-02ee09b90824:- 如果
id不存在,请转到下一步。 - 如果
id存在,请查看description和displayName值。 如果未将值设置为Guest Collaborator,则可重命名这两个值,然后继续执行步骤 15。
- 如果
-
在
appRoles对象下,添加以下块:{ "allowedMemberTypes": [ "User" ], "description": "Guest Collaborator", "displayName": "Guest Collaborator", "id": "1ebc4a02-e56c-43a6-92a5-02ee09b90824", "isEnabled": true, "lang": null, "origin": "Application", "value": null },注意
`id` 值至关重要。 如果存在另一个 `id` 值,更新将失败。 -
单击“ 保存”。
使用 Okta 启用来宾协作者
要将来宾协作者角色添加到 Okta 应用程序,请执行以下操作:
-
导航到 Okta 上的 Enterprise Managed Users 应用程序。
-
单击配置。
-
单击“转到配置文件编辑器”****。
-
在配置文件编辑器底部找到“角色”,然后单击编辑图标。
-
添加新角色。
- 对于“显示名称”,请键入
Guest Collaborator。 - 对于“值”,输入
guest_collaborator。
- 对于“显示名称”,请键入
-
单击“ 保存”。
将访客协作者添加到您的企业
在 IdP 中启用来宾协作者后,你可以使用 SCIM 为用户预配 guest_collaborator 角色。
- 如果使用合作伙伴 IdP,请在 Enterprise Managed Users 应用程序中使用“角色”属性。
- 如果使用 GitHub 的 REST API 的 SCIM 终结点来预配用户,请使用
roles用户属性。
有关合作伙伴 IdP 和其他标识管理系统的详细信息,请参阅“关于 Enterprise Managed Users”。
为来宾协作者提供对资源的访问权限
将来宾协作者添加到企业后,可将用户添加到特定组织或存储库。
将用户添加到组织
要授予用户对组织中存储库的访问权限,请将该用户添加为组织的成员。
- 对于所有成员,默认情况下,组织的基本权限策略决定用户是否有权访问内部和专用存储库。 请参阅“为组织设置基本权限”。
- 来宾协作者可以是连接到 GitHub 团队的 IdP 组的成员,并且与其他企业成员一样,也将通过 SCIM 添加到组织中。 请参阅“使用标识提供者组管理团队成员身份”。
将用户添加到存储库
要向用户授予对特定存储库的访问权限,请将用户作为存储库协作者添加到存储库。
这样,用户就可以访问存储库,而无需向他们授予对同一组织中的其他内部或专用存储库的访问权限。 有关详细信息,请参阅“组织中的角色”。