关于团队成员身份使用 IdP 组进行管理
凭借 Enterprise Managed Users,则可以将 GitHub 中的团队与 IdP 中的组连接起来,通过 IdP 管理企业内的团队和组织成员身份。 可以查看已从企业设置同步到 IdP 组的团队列表。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。
GitHub 还每天运行一次对帐作业,该作业根据以前通过 SCIM 从 IdP 发送的信息,将团队成员身份与存储的 GitHubIdP 组成员身份同步。 如果此作业发现用户是企业中 IdP 组的成员,但不是映射团队或其组织的成员,则作业将尝试将该用户添加到组织和团队。
如果 GitHub 无法将团队成员身份与 IdP 上的组同步,可以查看错误消息并解决问题。
查看团队与 IdP 组同步时发生的错误
-
导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。
-
在企业列表中,单击你想要查看的企业。
-
若要查看 IdP 组列表,请在左侧边栏中单击“ Identity provider”****。
-
在“标识提供者”**** 下方,单击“组”****。
-
如果组的同步遇到问题,将会看到以下消息:“某些组未能同步到团队。 请检查你是否具有许可证。”
-
在 IdP 组列表中,单击要查看的组。
-
要查看组遇到的同步错误,在该组名称下方单点“团队”。
如果团队无法将成员身份与 IdP 上某个组同步,将会在团队名称和成员身份计数下方看到对于问题的描述。
错误:“由于许可证不足而不同步”
GitHub在企业层面存储Enterprise Managed Users的 IdP 组成员身份数据。 此数据通过来自标识提供者 (IdP) 的 Group SCIM API 调用进行填充和更新。
对于映射到团队的 IdP 组, GitHub 运行 每日对帐作业 ,将团队成员身份与存储的企业级 IdP 组数据同步。 每当组 SCIM API 调用更新组成员身份,或者管理员将团队链接或取消链接到 GitHub 上存储的组时,该同步过程也会运行。
如果企业没有足够的许可证可用, GitHub 可能无法完成此同步。 发生这种情况时,你将看到消息:
“由于许可证不足而不同步”
因此,受影响的团队或组织可能缺少成员。
若要调查此问题,请查看企业可用的许可证总数,以及有关哪些用户正在使用许可证和原因的详细信息。 有关详细信息,请参阅 在组织中使用许可证的人员 和 查看GitHub企业计划的使用情况。
解决问题
若要允许同步成功完成,请使用以下方法之一提供其他企业许可证:
-
释放现有许可证
- 确定哪些用户正在使用许可证,以及他们是否仍需要访问权限。
- 根据需要从组织或 IdP 组中删除用户,具体取决于管理组织和团队成员身份的方式(请参阅 查看企业中的人员):
- 如果通过 IdP 组管理组织的成员身份,请从相关组中删除用户。
- 监视这些企业审核日志事件以跟踪更新组成员身份或托管用户帐户的 SCIM API 调用(请参阅 企业的审核日志事件:
external_group.scim_api_failure/external_group.scim_api_successexternal_identity.scim_api_failure/external_identity.scim_api_success
-
购买其他许可证
- 如果所有当前用户都需要访问权限,请为企业购买更多许可证。 有关详细信息,请参阅“管理组织或企业的用户许可证”。
错误:“不同步”
如果团队成员身份与 IdP 上的某个组由于许可证以外的其他问题同步失败,则会看到“不同步”的消息。
GitHub 将尝试在下一次同步期间自动解决此问题,这至少每天发生一次。 通过取消 IdP 组中受影响团队的链接,然后再将其关联到同一个组,也许能够解决此问题。 有关详细信息,请参阅“使用标识提供者组管理团队成员身份”。
如果问题仍然存在,请联系 GitHub Enterprise 支持,并提供有关你遇到问题的组织、团队和 IdP 组的详细信息。