此版本的 GitHub Enterprise Server 将于以下日期停止服务 2026-04-09. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

使用标识提供者组管理团队成员身份

Connect IdP groups with teams on GitHub to manage team and organization membership through your identity provider.

在本文中

注意

在当前版本的 GitHub Enterprise Server 中,SCIM 支持处于beta 版本阶段。 SCIM 支持已在版本 3.17 及更高版本中正式发布。

关于使用 SCIM 功能进行团队管理

如果配置了 SCIM 预配,则可以将 GitHub 中的团队与 IdP 中的组连接起来,通过 IdP 管理企业内的团队和组织成员身份。

以下部分介绍了 GitHub 如何使用 SCIM 预配和对帐作业使团队和组织成员身份与 IdP 保持同步。

当 GitHub 从 IdP 接收 组 SCIM API 调用 时,它会在企业审核日志中生成 external_group.scim_api_successexternal_group.scim_api_failure 事件。 这些事件捕获有关调用的详细信息,包括负载和执行的操作,并记录在审核日志中,其中操作者设置为 内置/本地用户(用于配置 SCIM 预配的帐户)。

GitHub 将组数据存储在企业级别后,它将运行每日对帐作业,以将团队成员身份与存储的 IdP 组数据同步。 每当 Group SCIM API 调用更新组成员身份,或者管理员将团队与存储的组关联或解除关联时,也会运行此协调。

当 IdP 组发生更改或新的团队连接导致用户加入其未成为成员的组织中的团队时,GitHub 会自动将该用户添加到该组织。 当你将组从团队中移除时,GitHub 会删除那些通过团队成员身份成为组织成员的用户(如果他们没有通过其他方式成为组织成员)。

连接到 IdP 组的团队不能是其他团队的父级,也不能是另一个团队的子级。 如果要连接到 IdP 组的团队是父团队或子团队,建议创建一个新团队或删除使你的团队成为父团队的嵌套关系。

若要管理企业中任何团队(包括连接到 IdP 组的团队)的存储库访问权限,必须对 GitHub 进行更改。 有关详细信息,请参阅“管理团队对组织存储库的访问”。

将 IdP 组与团队连接的要求

在 GitHub 上将 IdP 组与团队连接之前,必须在 IdP 中将该组分配给 相关 应用程序。 有关详细信息,请参阅“配置 SCIM 预配 (用于管理用户)”。

可以将企业中的团队连接到一个 IdP 组。 可以将同一 IdP 组分配给企业中的多个团队。

如果要将现有团队连接到 IdP 组,必须先删除手动添加的任何成员。 将企业中的团队连接到 IdP 组后,IdP 管理员必须通过标识提供者更改团队成员身份。 无法直接在 GitHub 上管理团队成员身份。

如果将 Microsoft Entra ID(以前称为 Azure AD)用作 IdP,则只能将团队连接到安全组。 不支持嵌套的组成员身份和 Microsoft 365 组。

创建连接到 IdP 组的新组织团队

组织的任何成员都可以创建新团队并将团队连接到 IdP 组。

  1. 在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。

  2. 单击您的组织名称。

  3. 在组织名称下,单击“ Teams”****。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 在页面顶部,单击“新建团队”。

  5. 在“Create new team(创建新团队)”下,输入新团队的名称。

  6. (可选)在“Description(描述)”字段中输入团队的描述。

  7. 若要连接团队,请在“标识提供者组”下,选择“选择组”下拉菜单,然后单击要连接的团队。 数据reusables.organizations.team_visibility %}数据reusables.organizations.create_team %}

管理现有团队与 IdP 组之间的连接

组织所有者和团队维护者可以管理 IdP 组和团队之间的现有连接。

注意

注意:在首次将 GitHub 上的现有团队连接到 IdP 组之前,必须先删除 GitHub 上的所有团队成员。 有关详细信息,请参阅“从团队中删除组织成员”。

  1. 在 GitHub 的右上角,单击你的个人资料图片,然后单击你的个人资料****。

    @octocat 的个人资料图片下的下拉菜单的屏幕截图。 “你的个人资料”用深橙色框出。

  2. 在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。

  3. 在组织名称下,单击“ Teams”****。

    组织的水平导航栏的屏幕截图。 标有人员图标和“团队”的选项卡以深橙色框出。

  4. 单击团队的名称。

  5. 在团队页面顶部,单击“ Settings”****。

    团队页标题的屏幕截图。 标有齿轮图标和“设置”的选项卡用深橙色标出。

  6. (可选)在“标识提供者组”下,单击要断开连接的 IdP 组右侧的 

           ![从 GitHub 团队取消选择已连接的 IdP 组。](/assets/images/enterprise/github-ae/teams/unselect-idp-group.png)

  7. 若要连接 IdP 组,请在“标识提供者组”下选择下拉菜单,然后从列表中单击标识提供者组。

           ![用于选择标识提供者组的下拉菜单。](/assets/images/enterprise/github-ae/teams/choose-an-idp-group.png)

  8. 单击“保存更改”。

查看 IdP 组、组成员身份和连接的团队

企业所有者可以查看 IdP 组、每个组的成员身份以及连接到每个组的任何团队的列表。 此视图中列出的 IdP 组和成员身份基于通过 SCIM 从 IdP 发送到 GitHub 的信息。 必须在 IdP 上编辑组的成员身份。

  1. 在 GitHub Enterprise Server 的右上角,单击你的个人资料头像,然后单击“Enterprise settings”****。
  2. 若要查看 IdP 组列表,请在左侧边栏中单击“ Identity provider”****。
  3. 若要查看连接到 IdP 组的成员和团队,请单击该组的名称。
    1. 在“Identity provider”下,单击“Groups”********。
  5. 若要查看连接到 IdP 组的团队,请单击“团队”。

如果团队无法与 IdP 上的组同步,团队会显示错误。 有关详细信息,请参阅“解决团队成员身份在标识提供者组中遇到的问题”。

从组织中删除成员

将成员添加到企业拥有的组织的方式决定了必须如何从组织中删除他们。

  •         **如果将成员手动添加到组织,则必须手动将其删除。** 从 IdP 上的 relevant 应用程序中取消分配他们,将暂停用户,但不会将其从组织中删除。

  •         **如果用户由于被添加到 IdP 组而成为该组织的成员,则从与组织关联的_所有_映射的 IdP 组中将其删除**。

要了解成员是如何添加到组织中的,可以按类型筛选成员列表。 请参阅查看企业中的人员