教學課程︰設定 GitHub 來自動佈建使用者
本教學課程旨在說明必須在 GitHub 與 Microsoft Entra ID 中執行的步驟,以自動佈建 GitHub Enterprise 雲端組織成員資格。
注意
Microsoft Entra 佈建整合須仰賴 GitHub SCIM API,此 API 可供 GitHub Enterprise 計費方案中的 GitHub Enterprise Cloud 客戶使用。
必要條件
本教學課程中說明的案例假設您已經具有下列項目:
- Microsoft Entra 租用戶
- 在 GitHub Enterprise 雲端中建立的 GitHub 組織,需使用 GitHub Enterprise 的計費方案
- GitHub 中具有組織管理員權限的使用者帳戶
- 已為 GitHub Enterprise 雲端組織設定 SAML
- 請確定您的組織已獲得 OAuth 存取權,如這裡所述
- 只有在組織層級啟用了 SSO 時,才支援以 SCIM 佈建至單一組織
注意
此整合也可從 Microsoft Entra US Government 雲端環境使用。 您可以在 Microsoft Entra US Government 雲端應用程式資源庫中找到此應用程式,並以您從公用雲端所做的相同方式進行設定。
將使用者指派給 GitHub
Microsoft Entra ID 會使用稱為「指派」的概念,來判斷哪些使用者應獲得指定應用程式的存取權。 在自動使用者帳戶佈建的內容中,只有「已指派」至 Microsoft Entra ID 中的應用程式之使用者和群組會進行同步處理。
設定並啟用布建服務之前,您必須決定Microsoft Entra標識碼中的哪些使用者和/或群組代表需要存取 GitHub 組織的使用者。 決定之後,即可遵循下列指示指派使用者:
如需詳細資訊,請參閱將使用者或群組指派給企業應用程式。
將使用者指派給 GitHub 的重要秘訣
建議您將單一 Microsoft Entra 使用者指派給 GitHub 來測試佈建組態。 其他使用者及/或群組可能會稍後再指派。
將使用者指派給 GitHub 時,您必須在 [指派] 對話方塊中選取 [使用者] 角色,或另一個有效的應用程式特有角色 (如果有的話)。 [預設存取] 角色不適用於佈建,系統會略過這些使用者。
設定將使用者佈建至 GitHub
本節會引導您將 Microsoft Entra ID 連線至 GitHub 的 SCIM 佈建 API,以自動佈建 GitHub 組織成員資格。 此項整合作業會利用 OAuth 應用程式,根據 Microsoft Entra ID 中的使用者和群組指派,自動新增、管理及移除成員對 GitHub Enterprise 雲端組織的存取權。 當使用者透過 SCIM 佈建至 GitHub 的組織時,會傳送電子郵件邀請給使用者的電子郵件地址。
在 Microsoft Entra ID 中進行設定,將使用者帳戶自動佈建至 GitHub
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式]。
如果您已將 GitHub 設定為單一登入,請使用 [搜尋] 欄位搜尋您的 GitHub 執行個體。
選取您的 GitHub 執行個體,然後選取 [佈建] 索引標籤。
將 [佈建模式] 設定為 [自動]。
在 Azure 入口網站中,輸入 [租用戶 URL],然後按一下 [測試連線],以確保 Microsoft Entra ID 可以連線至您的 GitHub 組織。 如果連線失敗,請確定您的 GitHub 帳戶具有系統管理員權限,且已輸入正確的「租用戶 URL」,然後再試一次「授權」步驟 (您可以根據規則
https://api.github.com/scim/v2/organizations/<Organization_name>,在 GitHub 帳戶中的 [設定] > [組織] 下找到組織,藉此構成「租用戶 URL」)。![螢幕擷取畫面:顯示 GitHub 中的 [組織] 頁面。](media/github-provisioning-tutorial/github3.png)
在 [系統管理員認證] 區段下,按一下 [授權]。 此作業會在新的瀏覽器視窗中開啟 GitHub 授權對話方塊。 請注意,您必須確定您已獲准授權存取權。 請遵循這裡所述的指示。
在新視窗中,使用您的管理帳戶登入 GitHub。 在產生的授權對話方塊中,選取您想要啟用佈建的 GitHub 組織,然後選取 [授權]。 一旦完成後,回到 Azure 入口網站以完成佈建組態。
在 [通知電子郵件] 欄位中,輸入應收到佈建錯誤通知的個人或群組之電子郵件地址,然後勾選 [發生失敗時傳送電子郵件通知] 核取方塊。
按一下 [檔案] 。
在 [對應] 區段下,選取 [將 Microsoft Entra 使用者同步至 GitHub]。
在 [屬性對應] 區段中,檢視從 Microsoft Entra ID 同步至 GitHub 的使用者屬性。 選取為 [比對] 屬性的屬性會用來比對 GitHub 中的使用者帳戶,以進行更新作業。 請勿在 [佈建] 區段中啟用其他預設屬性的 [相符優先順序] 設定,避免發生錯誤。 選取 [儲存] 認可任何變更。
若要啟用 GitHub 的 Microsoft Entra 佈建服務,請在 [設定] 區段中,將 [佈建狀態] 變更為 [開啟]。
按一下 [檔案] 。
此作業會對 [使用者和群組] 區段中指派給 GitHub 的任何使用者和/或群組,啟動首次同步處理。 初始同步處理會比後續同步處理花費更多時間執行,只要服務正在執行,這大約每 40 分鐘便會發生一次。 您可以使用 [同步處理詳細資料] 區段來監視進度,並依循連結前往佈建活動記錄,此記錄會描述佈建服務所執行的所有動作。
如需如何讀取 Microsoft Entra 佈建記錄的詳細資訊,請參閱關於使用者帳戶自動佈建的報告。