Verwalten der Teamsynchronisierung für Organisationen in deinem Unternehmen

Sie können die Teamsynchronisierung zwischen Microsoft Entra ID (früher bekannt als Azure AD) und GitHub aktivieren, damit Organisationen, die sich im Besitz Ihres Unternehmenskontos befinden, die Teammitgliedschaft über IdP-Gruppen verwalten können.

Wer kann dieses Feature verwenden?

Enterprise owners can manage team synchronization for an enterprise account.

In diesem Artikel

Hinweis

Wenn dein Unternehmen Enterprise Managed Users verwendet, musst du keine Teamsynchronisierung verwenden. Stattdessen kannst du die Teammitgliedschaft über die SCIM-Konfiguration verwalten, die du beim Einrichten deines Unternehmens erstellt hast. Weitere Informationen finden Sie unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.

Informationen zur Teamsynchronisierung für Unternehmenskonten

Wenn Sie SAML auf Unternehmensebene mit Entra ID als IdP verwenden, können Sie die Teamsynchronisierung für Ihr Unternehmenskonto aktivieren, damit Organisationsbesitzerinnen und Teambetreuerinnen Teams in den Organisationen synchronisieren können, die sich im Besitz deiner Unternehmenskonten mit IdP-Gruppen befinden.

Wenn die Teamsynchronisierung für dein Organisations- oder Unternehmenskonto aktiviert ist, kannst du ein GitHub-Team mit einer Identitätsanbietergruppe synchronisieren. Bei diesem Vorgang werden Änderungen an der Mitgliedschaft bei der Identitätsanbietergruppe automatisch auf GitHub widergespiegelt, wodurch die Notwendigkeit manueller Updates und benutzerdefinierter Skripts reduziert wird.

Die Teamsynchronisierung ist kein Benutzerbereitstellungsdienst und lädt in der Regel keine Nichtmitglieder zum Organisationsbeitritt ein. Das bedeutet, dass Benutzerinnen nur dann erfolgreich einem Team hinzugefügt werden, wenn sie bereits Organisationsmitglieder sind. Du kannst der Teamsynchronisierung jedoch optional gestatten, Benutzerinnen erneut einzuladen, die zuvor Mitglieder der Organisation waren und in der Zwischenzeit entfernt wurden.

Nachdem Du die Teamsynchronisierung aktiviert hast, können Team-Betreuer und Organisationsinhaber ein Team auf GitHub oder mit dem API zu einer IdP-Gruppe verbinden. Weitere Informationen findest du unter Ein Team mit einer Identitätsanbieter-Gruppe synchronisieren und REST-API-Endpunkte für Teams.

Warnung

Wenn du die Teamsynchronisierung deaktivierst, werden Teammitglieder, die einem GitHub-Team über die IdP-Gruppe zugewiesen waren, nicht aus dem Team entfernt. Dadurch behalten diese den Zugriff auf Repositorys.

Du kannst auch die Teamsynchronisation für eine einzelne Organisation konfigurieren und verwalten. Weitere Informationen finden Sie unter Verwalten der Teamsynchronisierung für deine Organisation.

Usage limits (Nutzungseinschränkungen)

Es gibt Nutzungsbeschränkungen für das Teamsynchonisierungsfeature. Das Überschreiten dieser Beschränkungen kann zu Leistungseinbußen und Synchronisierungsfehlern führen.

  • Maximale Anzahl von Mitgliedern in einem GitHub-Team: 5.000
  • Maximale Anzahl von Mitgliedern in einer GitHub-Organisation: 10.000
  • Maximale Anzahl von Teams in einer GitHub-Organisation: 1.500

Diese Grenzwerte gelten nur für die Verwendung des Features für die Teamsynchronisierung. Ihre Organisation verfügt möglicherweise über mehr Mitglieder oder Teams als die oben genannten Grenzwerte, ihre Verwendung des Features für die Teamsynchronisierung wird jedoch beeinträchtigt. Diese Grenzwerte gelten nicht für SCIM-basierte Verknüpfungen von Teams mit SCIM-Gruppen.

Voraussetzungen

  • Sie müssen einen kommerziellen Entra ID-Mandanten verwenden, nicht Gov Cloud.
  • Sie oder Ihr Entra-ID-Administrator müssen ein Global administrator oder ein Administrator für privilegierte Rollen in entra ID sein.
  • Du musst SAML-SSO für Organisationen in deinem Unternehmenskonto mit deinem unterstützten IdP erzwingen. Weitere Informationen finden Sie unter Konfigurieren von SAML Single Sign-On für dein Unternehmen.
  • Du musst dich mit SAML SSO und dem unterstützten IdP bei deinem Enterprise-Konto authentifizieren. Weitere Informationen finden Sie unter Authentifizierung mit Single Sign-On.

Teamsynchronisation für Entra ID verwalten

Um die Team-Synchronisation für Entra ID zu aktivieren, benötigt Ihre Entra ID Installation die folgenden Berechtigungen.

  • Alle Gruppenmitgliedschaften lesen: GitHub ruft eine Liste von Entra-Gruppen ab, damit Benutzer eine Gruppe zur Synchronisierung mit einem bestimmten GitHub-Team auswählen können.
  • Vollständige Profile aller Benutzer lesen: GitHub ruft eine Liste der Entra-IDs und Entra-Anzeigenamen/vollständigen Namen der Mitglieder für die Synchronisierung einer Entra-Gruppe und eines GitHub-Teams ab.
  • Anmelden und Benutzerprofil lesen: Wenn SAML SSO aktiviert ist, müssen Benutzer sich als Voraussetzung für die Teamsynchronisierung per Single Sign-On bei der Entra-Anwendung anmelden.
  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicke oben auf der Seite auf Settings.
  3. Klicke unter Settings auf Authentication security.
  4. Bestätige, dass SAML-SSO für dein Unternehmen aktiviert ist.
  5. Klicken Sie unter „Teamsynchronisierung“ auf Für Entra ID aktivieren.
  6. Bestätige die Teamsynchronisierung.
    • Wenn du über IdP-Zugriff verfügst, klicke auf Teamsynchronisierung aktivieren. Du wirst auf die SAML SSO-Seite deines Identity Providers weitergeleitet und dort zur Auswahl deines Kontos und zur Überprüfung der angeforderten Berechtigungen aufgefordert.
    • Wenn du keinen IdP-Zugriff hast, kopiere den IdP-Weiterleitungs-Link und teile ihm mit deinem IdP-Administrator, um weiterhin die Teamsynchronisierung aktivieren zu können.
  7. Überprüfe die Details für den IdP-Mandanten, der eine Verbindung mit deinem Unternehmenskonto herstellen soll, und klicke dann auf Genehmigen. Dadurch werden die GitHub Teamsynchronisierungs-App als aktive Unternehmensanwendung in Ihrem Entra ID-Mandanten registriert.
  8. Um die Teamsynchronisierung zu deaktivieren, klickst du unter „Teamsynchronisierung“ auf Teamsynchronisierung deaktivieren.

Festlegen, ob die Synchronisierung von Teams Nichtmitglieder erneut zu Organisationen einladen kann.

Änderungen an dieser Einstellung wirken sich nicht auf ausstehende Einladungen aus. Alle Einladungen, die während der Teamsynchronisierung generiert wurden, konnten frühere Mitglieder in die Organisation erneut einladen, können dazu führen, dass das Mitglied der Organisation erneut hinzugefügt wird, auch wenn eine erneute Einladung seitdem nicht zulässig ist.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicke oben auf der Seite auf Settings.
  3. Klicke unter Settings auf Authentication security.
  4. Aktiviere oder deaktiviere unter „Teamsynchronisierung“ die Option Teamsynchronisierung darf ehemalige Mitglieder, die durch einen Organisationsbesitzer entfernt wurden, nicht erneut zu Organisationen einladen.