組織のチーム同期を管理する

GitHub 上の ID プロバイダー (IdP) と organization の間でチームの同期の有効/無効を切り替えることができます。

この機能を使用できるユーザーについて

Organization owners can manage team synchronization for an organization.

この記事で

メモ

Enterprise で Enterprise Managed Users を使う場合は、チーム同期を使う必要はありません。 代わりに、Enterprise のセットアップ中に作成した SCIM 構成を使って、Team のメンバーシップを管理できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」をご覧ください。

Team の同期について

IdP と GitHub の間でチームの同期を有効にすると、organization 所有者とチーム メンテナが organization のチームを IdP グループに接続できるようになります。

Organization または Enterprise アカウントでチームの同期が有効になっている場合は、GitHub チームを IdP グループと同期できます。 これを行うと、IdP グループに対するメンバーシップ変更が GitHub に自動的に反映され、手動更新とカスタム スクリプトの必要性が軽減されます。

GitHub のチームを IdP グループに接続するには、チームが organization 内に既に存在している必要があります。 SCIM プロビジョニングを構成している場合でも、IdP でグループを作成することで、GitHub にチームが自動的に作成されることはありません。

データ 再使用可能.saml.ghec限定 %}

Team同期は、サポートされているIdPで使えます。

  • Entra ID 商用テナント (Gov Cloud はサポートされていません)
  • Okta

チーム同期はユーザー プロビジョニング サービスではなく、ほとんどの場合、組織に参加するようメンバー以外を招待することはありません。 つまり、ユーザーをチームに追加できるのは、ユーザーが既に組織のメンバーである場合のみです。 ただし、チーム同期では必要に応じて、以前に組織のメンバーだったがそれ以降削除されているユーザーを再び招待することができます。

Team同期を有効化すると、チームメンテナとOrganizationのオーナーは、GitHub上で、あるいはAPIを通じてTeamをIdPグループに接続できます。 詳細については、「Team をアイデンティティプロバイダグループと同期する」および「チームの REST API エンドポイント」を参照してください。

エンタープライズ アカウントが所有するすべての組織に対してチーム同期を有効にすることもできます。 SAML がエンタープライズ レベルで構成されている場合、個々の組織に対してチーム同期を有効にすることはできません。 代わりに、エンタープライズ全体のチーム同期を構成する必要があります。 詳しくは、「企業で組織のチーム同期を管理する」をご覧ください。

データを再利用可能な enterprise-accounts.team-sync-override

Usage limits (使用状況の制限)

チームの同期機能には使用制限があります。 これらの制限を超えると、パフォーマンスが低下し、同期エラーが発生する可能性があります。

  • GitHub Team のメンバーの最大数: 5,000
  • GitHub Organization のメンバーの最大数: 10,000
  • GitHub Organization の Team の最大数: 1,500

これらの制限は、チーム同期機能の使用にのみ適用されます。 組織には上記の制限よりも多くのメンバーまたはチームが存在する可能性がありますが、チーム同期機能の使用は損なわれます。 これらの制限は、SCIM グループへのチームの SCIM ベースのリンクには適用されません。

Team の同期を有効化する

Team の同期を有効にする手順は、使用したい IdP によって異なります。 各 IdP に共通して適用される、Team の同期を有効にするための必要条件があります。 個々の IdP ごとに、さらに追加の要件があります。

前提条件

任意のIdPとのTeam同期を有効化するには、Idpインテグレーション及びグループを設定するために、IdPへの管理アクセスを取得するか、IdPの管理者と作業をしなければなりません。 IdPインテグレーション及びグループを設定する人は、必要な権限のいずれかを持っていなければなりません。

IdP必要なアクセス許可
Entra ID
  • 全体管理者
  • 特権ロール管理者
Okta
  • 読み取りのみの管理権限を持つサービスユーザ

組織およびサポートされている IdP に対して、SAML シングルサインオンを有効にする必要があります。 詳しくは、「組織における SAML シングルサインオンを施行する」をご覧ください。

リンクされたSAMLアイデンティティを持っていなければなりません。 リンクされたアイデンティティを作成するには、最低一回はSAML SSOとサポートされたIdPを使ってOrganizationに認証を受けていなければなりません。 詳しくは、「シングル サインオンによる認証」をご覧ください。

メモ

チームの同期が機能するには、SAML 設定の [Issuer] フィールドに有効な IdP URL を含める必要があります。 詳細については、「Organization 向けの SAML シングル サインオンを有効化してテストする」を参照してください。

Entra ID で Team の同期を有効化する

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。1. 組織の隣の [設定] をクリックします。1. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。1. エンタープライズで SAML SSO が有効になっていることを確認します。1. [Team synchronization] (Team 同期) で、[Enable for Entra ID] (Entra ID での有効化) をクリックします。1. Teamの同期を確認してください。
    • IdP にアクセスできる場合は、 [Enable team synchronization] (Team 同期を有効にする) をクリックします。 アイデンティティプロバイダの SAML SSO ページにリダイレクトされ、アカウントを選択して、要求された権限を確認するよう求められます。
    • IdP にアクセスできない場合は、IdP のリダイレクトリンクをコピーして IdP の管理者に渡し、Team 同期の有効化を続けてください。
  2. Organization に接続したい ID プロバイダーのテナント情報を確認してから、 [承認] をクリックします。 これにより、 GitHub チーム同期 アプリが、Entra ID テナント内のアクティブなエンタープライズ アプリケーションとして登録されます。

Okta で Team の同期を有効化する

OktaのTeam同期には、事前にOrganizationでOktaでのSAMLとSCIMがセットアップされていることが必要です。

OktaでのTeam同期のエラーの可能性を回避するために、GitHubでTeam同期を有効化する前に、選択したOktaのグループのメンバーになっているすべてのOrganizationメンバーに対して、SCIMのリンクされたアイデンティティが正しくセットアップされているのを確認することをおすすめします。

OrganizationのメンバーがリンクされたSCIMアイデンティティを持たない場合、Teamの同期は期待された動作をせず、そのユーザはTeamに追加も削除もされないかもしれません。 もしもユーザの中にSCIMのリンクされたアイデンティティを持たない者がいた場合、それらのユーザはプロビジョニングし直さなければなりません。

SCIM リンク ID が欠落しているユーザーのプロビジョニングについては、「組織の ID とアクセス管理のトラブルシューティング」を参照してください。

Okta で Team 同期を有効にする前に、あなたもしくは IdP の管理者は以下を実行しなければなりません。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。1. 組織の隣の [設定] をクリックします。1. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。1. エンタープライズで SAML SSO が有効になっていることを確認します。1. 潜在的なプロビジョニング エラーを回避するために、ユーザーが SAML を有効にしていて、リンクされた SCIM ID を持っていることを確認することをお勧めします。 詳しくは、「組織の ID とアクセス管理のトラブルシューティング」をご覧ください。
  2. OrganizationでSAMLを施行し、OrganizationのメンバーがSAMLとSCIMのアイデンティティを確実にリンクするようにすることを検討してください。 詳しくは、「組織における SAML シングルサインオンを施行する」をご覧ください。 データ 再利用可能.アイデンティティとアクセス許可.チーム同期の有効化-Okta %}
  3. 組織の名前の下にある [SSWS トークン] フィールドに、有効な SSWS トークンを入力します。
  4. [URL] フィールドに、Okta インスタンスの URL を入力します。
  5. Organization に接続したい ID プロバイダーのテナント情報を確認してから、 [作成] をクリックします。

チーム同期機能でメンバー以外を組織に再招待できるかどうかを管理する

この設定を変更しても、保留中の招待には影響しません。 チーム同期で過去のメンバーを組織に再招待することが許可されている間に生成された招待は、その後再招待が許可されなくなった場合でも、メンバーが組織に再追加される可能性があります。

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。1. 組織の隣の [設定] をクリックします。1. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。
  2. [チームの同期] で、 [チームの同期で組織の所有者によって削除された過去のメンバーをこの組織に再び招待することを許可しない] を選択または選択解除します。

Team の同期を無効化する

データ リユーザブル reusables.identity-and-permissions.team-sync-disable %}

  1. GitHub の右上隅にあるプロフィール画像をクリックしてから、[ Your organizations] をクリックします。1. 組織の隣の [設定] をクリックします。1. サイドバーの [Security] セクションで、[ Authentication security] をクリックします。
  2. [Team の同期] で、 [Team の同期を無効にする] をクリックします。

チームの同期を活用してユーザーの退職処理を行う

チーム同期を使用して企業のユーザーを完全にオフボーディングする予定の場合は、非所属のユーザーに対するポリシーを無効にする必要があります。 「非所属ユーザー ポリシーを使用してユーザーの退職を管理する」を参照してください。