Enterprise Server 3.20 目前作为发布候选版本提供。

更改身份验证方法

您可以随时更改 GitHub Enterprise Server 对您现有的帐户进行身份验证的方法。

更改身份验证方法时,你的 GitHub Enterprise Server 实例 上的用户帐户将保留,只要他们的用户名没有发生变化,用户就可以继续登录原来的帐户。

如果新的身份验证方法更改了用户名,将创建新帐户。 作为管理员,可以通过站点管理员设置或使用用户管理 API 重命名用户。

您应当考虑的其他问题包括:

  •         **密码:** 如果对实例改为使用内置身份验证方法,则用户必须在更改完成后[设置密码](/authentication/keeping-your-account-and-data-secure/updating-your-github-access-credentials)。

  •         **站点管理员:** 管理权限[在你使用 SAML 时由你的标识提供者控制](/admin/identity-and-access-management/using-saml-for-enterprise-iam#saml-attributes),而[在你使用 LDAP 时由组成员身份控制](/admin/identity-and-access-management/using-ldap-for-enterprise-iam/using-ldap#configuring-ldap-with-your-github-enterprise-server-instance)。

  •         **团队成员身份:** 只有 LDAP 可让你从目录服务器[控制团队成员身份](/admin/identity-and-access-management/using-ldap-for-enterprise-iam/using-ldap#configuring-ldap-with-your-github-enterprise-server-instance)。

  •         **用户挂起:** 当你使用 LDAP 进行身份验证时,可以通过_受限制的组_控制对 GitHub Enterprise Server 的访问权限。 在切换到 LDAP 后,如果配置了受限的组,那么现有的、不属于这些组的用户将被停用。 在用户登录或下一次 LDAP 同步期间将发生挂起。

  •         **组成员身份:** 使用 LDAP 进行身份验证时,用户会根据与 Active Directory 相关的受限组成员身份和账户状态自动被暂停或恢复。

  •         **Git 身份验证:** SAML 和 CAS 仅支持通过 HTTP 或 HTTPS 使用 [personal access token](/authentication/keeping-your-account-and-data-secure/creating-a-personal-access-token) 进行 Git 身份验证。 不支持通过 HTTP 或 HTTPS 进行的密码身份验证。 LDAP 默认支持基于密码的 Git 身份验证,但我们建议你[禁用该方法](/admin/identity-and-access-management/using-ldap-for-enterprise-iam/using-ldap#disabling-password-authentication-for-git-operations),并强制通过 personal access token 或 SSH 密钥进行身份验证。

  •         **API 身份验证:** SAML 和 CAS 仅支持使用 [personal access token](/authentication/keeping-your-account-and-data-secure/creating-a-personal-access-token) 进行 API 身份验证。 不支持基本身份验证。

  •         **双因素身份验证:** 使用 SAML 或 CAS 时,双重身份验证在 GitHub Enterprise Server 实例上不受支持或无法管理,但受外部身份验证提供商的支持。 在组织上无法实施双重身份验证。 有关对组织强制实施双因素身份验证的详细信息,请参阅“[AUTOTITLE](/organizations/keeping-your-organization-secure/managing-two-factor-authentication-for-your-organization/requiring-two-factor-authentication-in-your-organization)”。

  •         **对在外部身份验证提供者中无帐户的用户进行备用身份验证:** 你可以邀请用户在 你的 GitHub Enterprise Server 实例 中进行身份验证,而无需将他们添加到你的标识提供者中。 有关详细信息,请参阅“[AUTOTITLE](/admin/identity-and-access-management/managing-iam-for-your-enterprise/allowing-built-in-authentication-for-users-outside-your-provider)”。

从 LDAP 迁移到 SAML 和 SCIM

如果当前使用的是 LDAP 并想要启用自动用户预配和取消预配功能,则可以使用 SCIM 预配迁移到 SAML 身份验证。 这提供了增强的用户生命周期管理,同时维护集中式身份验证。

有关详细迁移步骤,请参阅 使用 SCIM 从 LDAP 迁移到 SAML