教學課程:設定 GitHub 來自動布建使用者
本教學課程旨在說明在 GitHub 和 Microsoft Entra ID 中執行的步驟,以自動布建 GitHub Enterprise Cloud 組織成員資格。
注意
Microsoft Entra 布建整合依賴 GitHub SCIM API,此 API 可供 GitHub Enterprise 雲端 客戶在 GitHub Enterprise 計費方案中使用。
必要條件
本教學課程中所述的案例假設您已經有下列專案:
- Microsoft Entra 租用戶
- 在 GitHub Enterprise Cloud 中建立的 GitHub 組織,其需要 GitHub Enterprise 計費方案
- GitHub 中具有組織 管理員 許可權的用戶帳戶
- 針對 GitHub Enterprise Cloud 組織設定的 SAML
- 請確定已為您的組織提供 OAuth 存取,如這裡所述
- 只有在組織層級啟用 SSO 時,才支援對單一組織的 SCIM 布建
注意
此整合也可從 Microsoft Entra US Government 雲端環境使用。 您可以在 Microsoft Entra US Government 雲端應用程式資源庫中找到此應用程式,並以您從公用雲端所做的相同方式進行設定。
將使用者指派給 GitHub
Microsoft Entra ID 使用稱為「指派」的概念來判斷哪些用戶應該接收所選應用程式的存取權。 在自動使用者帳戶布建的內容中,只會同步處理已「指派」給 Microsoft Entra ID 中的應用程式的使用者和群組。
設定並啟用布建服務之前,您必須決定 Microsoft Entra 識別碼中的哪些使用者和/或群組代表需要存取 GitHub Organzation 的使用者。 一旦決定后,您可以依照這裡的指示指派這些使用者:
如需詳細資訊,請參閱 將使用者或群組指派給企業應用程式。
將使用者指派給 GitHub 的重要秘訣
我們建議您將單一 Microsoft Entra 使用者指派給 GitHub,以測試布建組態。 稍後可能會指派其他使用者和/或群組。
將使用者指派給 GitHub 時,您必須在 [指派] 對話框中選取 [使用者 角色] 或另一個有效的應用程式特定角色(如果有的話)。 默認 存取 角色不適用於布建,而且會略過這些使用者。
設定使用者布建至 GitHub
本節會引導您將 Microsoft Entra ID 連線至 GitHub 的 SCIM 布建 API,以自動布建 GitHub 組織成員資格。 此整合會 利用 OAuth 應用程式,根據 Microsoft Entra 標識碼中的使用者和群組指派,自動新增、管理及移除成員對 GitHub Enterprise Cloud 組織的存取權。 透過 SCIM 將使用者布建至 GitHub 組織時,會將電子郵件邀請傳送至使用者的電子郵件位址。
在 Microsoft Entra ID 中設定對 GitHub 的自動用戶帳戶布建
以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式企業應用程式]。>
如果您已設定 GitHub 進行單一登錄,請使用搜尋欄位搜尋您的 GitHub 實例。
選取 GitHub 的實例,然後選取 [ 布建] 索引 標籤。
將 [布 建模式 ] 設定為 [ 自動]。
在 Azure 入口網站 中,輸入租使用者 URL,然後按兩下 [測試 連線],以確保 Microsoft Entra ID 可以連線到您的 GitHub 組織。 如果連線失敗,請確定您的 GitHub 帳戶具有 管理員 許可權,並正確輸入租使用者 URL,然後再次嘗試「授權」步驟(您可以依規則構成租使用者 URL:
https://api.github.com/scim/v2/organizations/<Organization_name>,您可以在 GitHub 帳戶下找到您的組織:設定> Organizations)。
在 [管理員 認證] 區段底下,按兩下 [授權]。 此作業會在新的瀏覽器視窗中開啟 GitHub 授權對話方塊。 請注意,您必須確定您已核准授權存取權。 依照此處所述的指示操作。
在新視窗中,使用您的 管理員 帳戶登入 GitHub。 在產生的授權對話框中,選取您要啟用布建的 GitHub 組織,然後選取 [ 授權]。 完成後,返回 Azure 入口網站 以完成布建組態。
在 [通知電子郵件] 欄位中輸入應接收布建錯誤通知的人員或群組的電子郵件地址,然後核取 [發生失敗時傳送電子郵件通知] 複選框。
按一下 [檔案] 。
在 [對應] 區段底下,選取 [ 將 Microsoft Entra 使用者同步處理至 GitHub]。
在 [ 屬性對應 ] 區段中,檢閱從 Microsoft Entra ID 同步處理至 GitHub 的用戶屬性。 選取為 [比 對] 屬性的屬性可用來比對 GitHub 中的使用者帳戶以進行更新作業。 請勿啟用布建區段中其他預設屬性的 [比對優先順序] 設定,因為可能發生錯誤。 選取 [ 儲存] 以認可任何變更。
若要啟用 GitHub 的 Microsoft Entra 布建服務,請將 [設定] 區段中的 [布建狀態] 變更為 [開啟]。
按一下 [檔案] 。
此作業會在 [使用者和群組] 區段中,啟動指派給 GitHub 的任何使用者和/或群組的初始同步處理。 初始同步處理的執行時間比後續的同步處理時間要長,只要服務正在執行,大約每 40 分鐘就會發生一次。 您可以使用 [ 同步處理詳細 數據] 區段來監視進度,並遵循布建活動記錄的連結,以描述布建服務所執行的所有動作。
如需如何讀取 Microsoft Entra 布建記錄的詳細資訊,請參閱 關於自動用戶帳戶布建的報告。