使用 Okta 配置身份验证和预配

关于使用 Okta 进行预配

如果使用 Okta 作为 IdP，则可以使用 Okta 的应用程序来预配用户帐户、管理企业成员身份以及为企业中的组织管理团队成员身份。 Okta 是合作伙伴 IdP，因此可以使用以管理 GitHub Enterprise Server 上的 SAML 单点登录和 SCIM 预配。

或者，如果只想将 Okta 用于 SAML 身份验证，并且想要使用不同的 IdP 进行预配，则可以与 GitHub 的 SCIM REST API 集成。有关详细信息，请参阅“使用 REST API 通过 SCIM 预配用户和组”。

GitHub Enterprise Server 支持 Okta 的以下预配功能。

特性	说明
推送给新用户	分配给 Okta 中 GitHub 的应用的用户会在 GitHub 上的企业中自动创建。
推送配置文件更新	对 Okta 中的用户配置文件所做的更新将被推送到 GitHub。
推送组	在 Okta 中作为推送组分配给 GitHub 的应用程序的组将自动在 GitHub 上的企业中创建。
推送用户停用	从 Okta 中 GitHub 的应用取消分配用户将在 GitHub 上禁用该用户。用户将无法登录，但会保留用户的信息。
重新激活用户	Okta 中帐户重新激活并重新分配到 Okta 上 GitHub 的应用的用户将被启用。

在 GitHub Enterprise Server 上使用 SCIM 的一般先决条件适用。请参阅“配置 SCIM 预配（用于管理用户）”中的“先决条件”部分。

此外：

若要配置 SCIM，必须完成“AUTOTITLE”中的步骤 1 到 4。
- 你需要为设置用户创建的 personal access token (classic) 对来自 Okta 的请求进行身份验证。
必须使用 Okta 的应用程序进行身份验证和预配。
数据复用.scim.您的 Okta 产品必须支持 SCIM %}

在开始本部分之前，请确保已按照“AUTOTITLE”中的步骤 1 和 2 进行操作。

在配置 SAML 设置之后，你可以继续配置预配设置。

在开始本部分之前，请确保已按照“AUTOTITLE”中的步骤 1 到 4 进行操作。

导航到 Okta 上的 GitHub Enterprise Managed User 应用程序。
单击 资源调配 选项卡。
在“设置”菜单中，单击“集成”。
若要进行更改，请单击“编辑”。
单击“配置 API 集成”****。
在“API 令牌”字段中，输入属于设置用户的 personal access token (classic)。

注意

GitHub 不支持“导入组”。选择或取消选择复选框对你的配置没有影响。
点击 测试 API 凭据。如果测试成功，屏幕顶部将显示一条验证消息。
若要保存令牌，请单击“保存”。
在“设置”菜单中，单击“转到应用”。
在“预配到应用”的右侧，单击编辑以允许进行更改。
在“创建用户”、“更新用户属性”和“停用用户”的右侧，选择“启用” 。
若要完成配置预配，请单击“保存”。

完成 SCIM 配置后，你可能想要禁用为配置过程启用的某些 SAML 设置。请参阅“配置 SCIM 预配（用于管理用户）”。

配置身份验证和预配后，可以通过将用户或组分配到 IdP 中的相关应用程序来在 GitHub 上预配新用户。

注意

站点管理员可能已启用实例的 API 速率限制。如果超出这些阈值，预配用户的尝试可能会失败并出现“速率限制”错误。可以查看 IdP 日志，确认尝试的 SCIM 预配或推送操作是否由于速率限制错误而失败。对失败的预配尝试的响应将取决于 IdP。有关详细信息，请参阅排除企业的标识和访问管理故障。

还可以通过将组添加到 Okta 中的“推送组”选项卡来自动管理组织成员身份。成功预配该组后，该组可以连接到企业组织的团队。有关管理团队的详细信息，请参阅“使用标识提供者组管理团队成员身份”。

当分配用户时，可以使用 IdP 上应用程序中的“角色”属性设置用户在企业中的角色。有关可分配的角色的详细信息，请参阅“企业中角色的能力”。

注意

只能为单个用户（而不是组）设置“Roles”属性。如果要为 Okta 中分配给应用程序的组中的每个人设置角色，则必须单独为每个组成员使用“角色”属性。

若要从 GitHub 中删除用户或组，请从 Okta 的“分配”选项卡和“推送组”选项卡中删除用户或组。对于用户，请确保从“推送组”选项卡中的所有组中删除该用户。