本文旨在展示自动预配 GitHub Enterprise Cloud 组织成员身份时需要在 GitHub 和 Microsoft Entra ID 中执行的步骤。
注意
Microsoft Entra预配集成依赖于 GitHub SCIM API,GitHub企业云客户可以使用GitHub企业计费计划。
先决条件
本文中概述的方案假定你已具有以下项:
- 在 GitHub Enterprise Cloud 中创建的GitHub组织,需要GitHub企业计费计划
- GitHub中具有组织管理员权限的用户帐户
- 为 GitHub Enterprise Cloud 组织配置的 SAML
- 确保已按此处所述为组织提供 OAuth 访问
- 仅在组织级别启用 SSO 时,才支持单个组织的 SCIM 预配
注意
还可以从 Microsoft Entra 美国政府云环境使用此集成。 可以在 Microsoft Entra 美国政府云应用程序库中找到此应用程序,并按照与从公有云中相同的方式对其进行配置。
将用户分配到GitHub
Microsoft Entra ID使用一个名为“分配”的概念来确定哪些用户应接收对所选应用的访问权限。 在自动用户帐户预配的背景下,只有被指定“分配给”Microsoft Entra ID中某一应用程序的用户和组会被同步。
在配置和启用预配服务之前,需要确定Microsoft Entra ID中的哪些用户和/或组表示需要访问GitHub组织的用户。 确定后,可以按照此处的说明分配这些用户:
有关详细信息,请参阅 向企业应用分配用户或组。
将用户分配到GitHub的重要提示
建议将单个Microsoft Entra用户分配到GitHub来测试预配配置。 其他用户和/或组可以稍后分配。
将用户分配到GitHub时,必须在分配对话框中选择 User 角色或其他有效的特定于应用程序的角色(如果可用)。 默认访问角色不适用于预配,因此这些用户被跳过。
为 GitHub 配置用户预配
本部分介绍如何将Microsoft Entra ID连接到 GitHub 的 SCIM 预配 API,以自动预配GitHub组织成员身份。 此集成利用 OAuth 应用,根据Microsoft Entra ID中的用户和组分配自动添加、管理和删除成员对 GitHub Enterprise Cloud 组织的访问权限。 当用户通过 SCIM 预配到GitHub组织时,会将电子邮件邀请发送到用户的电子邮件地址。
在 Microsoft Entra ID 中配置GitHub的自动用户帐户预配
以至少 Cloud 应用程序管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用。
如果已为单一登录配置GitHub,请使用搜索字段搜索GitHub实例。
选择GitHub实例,然后选择预配选项卡。
选择 + 新建配置。
在 Tenant URL 字段中,输入GitHub租户 URL 和机密令牌。 选择测试连接以确保Microsoft Entra ID可以连接到GitHub。 如果连接失败,请确保GitHub帐户具有所需的管理员权限,然后重试。
在新窗口中,使用管理员帐户登录到GitHub。 在生成的授权对话框中,选择要为其启用预配的GitHub组织,然后选择Authorize。 完成后,返回到Azure门户以完成预配配置。
选择 “创建 ”以创建配置。
在“概述”页上选择“属性”。
选择 “编辑” 图标以编辑属性。 启用通知电子邮件并提供电子邮件以接收隔离通知。 启用 意外删除防护。 选择“应用”保存更改。
在 “通知电子邮件 ”字段中,输入应接收预配错误通知的人员的电子邮件地址,并在 发生故障时选中“发送电子邮件通知 ”复选框。
在左侧面板中选择 “属性映射 ”,然后选择 用户。
在 Attribute Mappings 部分中,查看从Microsoft Entra ID同步到GitHub的用户属性。 选择为 Matching 属性的属性用于匹配GitHub中的用户帐户进行更新操作。 不要为“预配”部分中的其他默认属性启用“匹配优先”设置,因为可能会出现错误。 选择“保存”,以提交所有更改。
若要配置范围筛选器,请参阅 范围筛选器文章中提供的说明。
在组织中更广泛地部署之前,使用 按需预配 来验证与少数用户的同步。
准备好预配后,从“概述”页中选择“开始预配”。
要详细了解如何读取 Microsoft Entra 预配日志,请参阅有关自动用户帐户预配的报告。