Что такое корпоративные управляемые пользователи в GitHub?
С помощью Enterprise Managed Users вы управляете жизненным циклом и аутентификацией пользователей на GitHub.com или GHE.com из внешней системы управления идентификацией или IdP:
- Ваш idP подготавливает новые учетные записи пользователей для GitHub, с доступом к вашей организации.
- Пользователи должны пройти проверку подлинности в idP , чтобы получить доступ к ресурсам предприятия на GitHub.
- Вы управляете именами пользователей, данными профиля, членством в организации и доступом к репозиторию из поставщика удостоверений.
- Если ваше предприятие использует единый вход OIDC, GitHub проверяет доступ к вашей организации и его ресурсам с помощью политики условного доступа поставщика удостоверений (CAP). См . раздел AUTOTITLE.
- Управляемые учетные записи пользователей не может создавать общедоступное содержимое или совместно работать вне вашей организации. См . раздел AUTOTITLE.
Примечание.
Enterprise Managed Users не является лучшим решением для каждого клиента. Чтобы определить, подходит ли оно для вашего предприятия, см . раздел AUTOTITLE.
Как EMU интегрируются с системами управления идентификацией?
GitHub сотрудничает с некоторыми разработчиками систем управления удостоверениями, чтобы обеспечить интеграцию "проложенный путь" с Enterprise Managed Users. Чтобы упростить конфигурацию и обеспечить полную поддержку, используйте единый идентификатор партнера для проверки подлинности и подготовки.
Что такое поставщики удостоверений партнеров?
Поставщики удостоверений партнеров обеспечивают проверку подлинности с помощью SAML или OIDC и предоставляют подготовку с помощью системы для управления междоменной идентификацией (SCIM).
| Поставщика удостоверений партнера | SAML | OIDC | SCIM (Система управления идентификацией в междоменной среде) |
|---|---|---|---|
| Идентификатор записи | |||
| Okta | |||
| PingFederate |
При использовании единого поставщика удостоверений для проверки подлинности и подготовки GitHub обеспечивает поддержку приложения для поставщика удостоверений и интеграции поставщика удостоверений с GitHub.
Могу ли я использовать системы управления идентификацией, отличные от поддерживаемых партнеров?
Если для проверки подлинности и подготовки нельзя использовать единый партнер idP, можно использовать другую систему управления удостоверениями или комбинацию систем. Система должна:
- Соблюдайте правила интеграции GitHub.
- Предоставление проверки подлинности с помощью SAML, привязывание к спецификации SAML 2.0
- Предоставьте управление жизненным циклом пользователей с помощью SCIM, придерживаясь спецификации SCIM 2.0 и взаимодействуя с GitHubREST API (см . AUTOTITLE)
GitHub не поддерживает сочетание поставщиков удостоверений для проверки подлинности и подготовки партнеров и не проверяет все системы управления удостоверениями. GitHubможет оказаться не в состоянии помочь вам с проблемами, связанными с смешанными или непроверенными системами. Если вам нужна помощь, необходимо обратиться к документации системы, группе поддержки или другим ресурсам.
Внимание
Сочетание Okta и Entra ID для единого входа и SCIM (в любом порядке) явно не поддерживается. API SCIM %% данных.product.github %}возвращает ошибку поставщику удостоверений при попытке подготовки при настройке этого сочетания.
Как осуществляется управление именами пользователей и информацией профиля для EMU?
GitHub автоматически создает имя пользователя для каждого разработчика путем нормализации идентификатора, предоставленного идентификатором по��тавщика удостоверений. Если уникальные части идентификатора удаляются во время нормализации, может возникнуть конфликт. См . раздел AUTOTITLE.
Имя профиля и адрес электронной почты управляемая учетная запись пользователя предоставляется идентификатором поставщика удостоверений:
- Управляемые учетные записи пользователей не может изменить имя профиля или адрес электронной почты на GitHub.
- IdP может предоставить только один адрес электронной почты.
- Изменение адреса электронной почты пользователя в идентификаторе поставщика удостоверений приведет к отмене связи пользователя из журнала вкладов, связанного со старым адресом электронной почты.
Как осуществляется управление ролями и доступом для EMU?
В идентификаторе поставщика удостоверений можно предоставить каждой роли управляемая учетная запись пользователя вашей организации, например участника, владельца или гостевого участника совместной работы. См . раздел AUTOTITLE.
Членство в организации (и доступ к репозиторию) можно управлять вручную или автоматически обновлять членство с помощью групп поставщика удостоверений. См . раздел AUTOTITLE.
Как управляемые учетные записи пользователей аутентифицироваться в GitHub?
Расположения, в которых управляемые учетные записи пользователей могут проходить проверку подлинности в GitHub зависит от способа настройки проверки подлинности (SAML или OIDC). См . раздел AUTOTITLE.
По умолчанию, когда пользователь, не прошедший проверку подлинности, пытается получить доступ к вашей организации, GitHub отображает ошибку 404. Вместо этого можно включить автоматические перенаправления в единый вход. См . раздел AUTOTITLE.