What are Enterprise Managed Users in GitHub?
With Enterprise Managed Users, you manage the lifecycle and authentication of your users on GitHub.com or GHE.com from an external identity management system, or IdP:
- Your IdP provisions new user accounts on GitHub, with access to your enterprise.
- Users must authenticate on your IdP to access your enterprise's resources on GitHub.
- You control usernames, profile data, organization membership, and repository access from your IdP.
- If your enterprise uses OIDC SSO, GitHub will validate access to your enterprise and its resources using your IdP's Conditional Access Policy (CAP). See IdP의 조건부 액세스 정책에 대한 지원 정보.
- 관리형 사용자 계정 cannot create public content or collaborate outside your enterprise. See 관리 사용자 계정의 기능 및 제한 사항.
참고 항목
Enterprise Managed Users is not the best solution for every customer. To determine whether it's right for your enterprise, see Enterprise types for GitHub Enterprise Cloud.
How does EMUs integrate with identity management systems?
GitHub는 일부 ID 관리 시스템 개발자와 협력하여 Enterprise Managed Users와의 "포장된 경로" 통합을 제공합니다. 구성을 간소화하고 완전한 지원을 보장하기 위해, 인증 및 프로비전 모두에 단일 파트너 IdP를 사용합니다.
What are partner identity providers?
Partner IdPs provide authentication using SAML or OIDC, and provide provisioning with System for Cross-domain Identity Management (SCIM).
| Partner IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
When you use a single partner IdP for both authentication and provisioning, GitHub provides support for the application on the partner IdP and the IdP's integration with GitHub.
Can I use identity management systems other than the supported partners?
If you cannot use a single partner IdP for both authentication and provisioning, you can use another identity management system or combination of systems. The system must:
- Adhere to GitHub's integration guidelines
- Provide authentication using SAML, adhering to SAML 2.0 specification
- Provide user lifecycle management using SCIM, adhering to the SCIM 2.0 specification and communicating with GitHub's REST API (see REST API를 사용하여 SCIM으로 사용자 및 그룹 프로비전)
GitHub는 인증 및 프로비전을 위한 파트너 IDP의 혼합을 명시적으로 지원하지 않으며 모든 ID 관리 시스템을 테스트하지 않습니다. 데이터 변수가 혼합되어 있거나 테스트되지 않은 시스템과 관련된 문제에 대해서는 GitHub의 지원 팀이 지원을 제공하지 못할 수도 있습니다. 도움이 필요한 경우 시스템의 설명서, 지원 팀 또는 기타 리소스를 참조해야 합니다.
중요
SSO 및 SCIM에 대한 Okta 및 Entra ID의 조합(어느 순서로든)은 명시적으로 지원되지 않습니다. 이 조합이 구성된 경우, GitHub의 SCIM API는 프로비전 시도 시 ID 공급자에게 오류를 반환합니다.
How are usernames and profile information managed for EMUs?
GitHub automatically creates a username for each developer by normalizing an identifier provided by your IdP. If the unique parts of the identifier are removed during normalization, a conflict may occur. See 외부 인증에 대한 사용자 이름 고려 사항.
The profile name and email address of a 관리형 사용자 계정 is provided by the IdP:
- 관리형 사용자 계정 cannot change their profile name or email address on GitHub.
- The IdP can only provide one email address.
- Changing a user's email address in your IdP will unlink the user from the contribution history associated with the old email address.
How are roles and access managed for EMUs?
In your IdP, you can give each 관리형 사용자 계정 a role in your enterprise, such as member, owner, or guest collaborator. See Abilities of roles in an enterprise.
Organization memberships (and repository access) can be managed manually, or you can update memberships automatically using IdP groups. See ID 공급자 그룹을 사용하여 팀 멤버 자격 관리.
How do 관리형 사용자 계정 authenticate to GitHub?
The locations where 관리형 사용자 계정 can authenticate to GitHub depends on how you configure authentication (SAML or OIDC). See Enterprise Managed Users로 인증.
By default, when an unauthenticated user attempts to access your enterprise, GitHub displays a 404 error. You can optionally enable automatic redirects to single sign-on (SSO) instead. See 엔터프라이즈에서 보안 설정에 대한 정책 적용.