Что такое корпоративные управляемые пользователи в GitHub?
С помощью Enterprise Managed Users вы управляете жизненным циклом и аутентификацией пользователей на GitHub.com или GHE.com из внешней системы управления идентификацией или IdP:
- Ваш idP подготавливает новые учетные записи пользователей для GitHub, с доступом к вашей организации.
- Пользователи должны пройти проверку подлинности в idP , чтобы получить доступ к ресурсам предприятия на GitHub.
- Вы управляете именами пользователей, данными профиля, членством в организации и доступом к репозиторию из поставщика удостоверений.
- Если ваше предприятие использует единый вход OIDC, GitHub проверяет доступ к вашей организации и его ресурсам с помощью политики условного доступа поставщика удостоверений (CAP). См . раздел AUTOTITLE.
- Управляемые учетные записи пользователей не может создавать общедоступное содержимое или совместно работать вне вашей организации. См . раздел AUTOTITLE.
Примечание.
Enterprise Managed Users не является лучшим решением для каждого клиента. Чтобы определить, подходит ли оно для вашего предприятия, см . раздел AUTOTITLE.
Как EMU интегрируются с системами управления идентификацией?
GitHub сотрудничает с некоторыми разработчиками систем управления удостоверениями, чтобы обеспечить интеграцию "проложенный путь" с Enterprise Managed Users. Чтобы упростить конфигурацию и обеспечить полную поддержку, используйте единый идентификатор партнера для проверки подлинности и подготовки.
Что такое поставщики удостоверений партнеров?
Поставщики удостоверений партнеров обеспечивают проверку подлинности с помощью SAML или OIDC и предоставляют подготовку с помощью системы для управления междоменной идентификацией (SCIM).
| Поставщика удостоверений партнера | SAML | OIDC | SCIM (Система управления идентификацией в междоменной среде) |
|---|---|---|---|
| Идентификатор записи | |||
| Okta | |||
| PingFederate |
При использовании единого поставщика удостоверений для проверки подлинности и подготовки GitHub обеспечивает поддержку приложения для поставщика удостоверений и интеграции поставщика удостоверений с GitHub.
Могу ли я использовать системы управления идентификацией, отличные от поддерживаемых партнеров?
Если для проверки подлинности и подготовки нельзя использовать единый партнер idP, можно использовать другую систему управления удостоверениями или комбинацию систем. Система должна:
-
**Соблюдайте правила интеграции GitHub.** - Предоставление проверки подлинности с помощью SAML, привязывание к спецификации SAML 2.0
- Предоставьте управление жизненным циклом пользователей с помощью SCIM, придерживаясь спецификации SCIM 2.0 и взаимодействуя с GitHubREST API (см . AUTOTITLE)
GitHub не поддерживает сочетание поставщиков удостоверений для проверки подлинности и подготовки партнеров и не проверяет все системы управления удостоверениями. GitHub группе поддержки %}может оказаться не в состоянии помочь вам с проблемами, связанными с смешанными или непроверенными системами. Если вам нужна помощь, необходимо обратиться к документации системы, группе поддержки или другим ресурсам.
Внимание
Сочетание Okta и Entra ID для единого входа и SCIM (в любом порядке) явно не поддерживается. API SCIM %% данных.product.github %}возвращает ошибку поставщику удостоверений при попытке подготовки при настройке этого сочетания.
Как осуществляется управление именами пользователей и информацией профиля для EMU?
GitHub автоматически создает имя пользователя для каждого разработчика путем нормализации идентификатора, предоставленного идентификатором поставщика удостоверений. Если уникальные части идентификатора удаляются во время нормализации, может возникнуть конфликт. См . раздел AUTOTITLE.
Имя профиля и адрес электронной почты управляемая учетная запись пользователя предоставляется идентификатором поставщика удостоверений:
- Управляемые учетные записи пользователей не может изменить имя профиля или адрес электронной почты на GitHub.
- IdP может предоставить только один адрес электронной почты.
- Изменение адреса электронной почты пользователя в идентификаторе поставщика удостоверений приведет к отмене связи пользователя из журнала вкладов, связанного со старым адресом электронной почты.
Как осуществляется управление ролями и доступом для EMU?
В идентификаторе поставщика удостоверений можно предоставить каждой роли управляемая учетная запись пользователя вашей организации, например участника, владельца или гостевого участника совместной работы. См . раздел AUTOTITLE.
Членство в организации (и доступ к репозиторию) можно управлять вручную или автоматически обновлять членство с помощью групп поставщика удостоверений. См . раздел AUTOTITLE.
Как управляемые учетные записи пользователей аутентифицироваться в GitHub?
Расположения, в которых управляемые учетные записи пользователей могут проходить проверку подлинности в GitHub зависит от способа настройки проверки подлинности (SAML или OIDC). См . раздел AUTOTITLE.
По умолчанию, когда пользователь, не прошедший проверку подлинности, пытается получить доступ к вашей организации, GitHub отображает ошибку 404. Вместо этого можно включить автоматические перенаправления в единый вход. См . раздел AUTOTITLE.
Дополнительные материалы
-
[AUTOTITLE](/admin/identity-and-access-management/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users)