# 关于 Enterprise Managed Users

了解企业如何从标识提供者 (dP) 管理 GitHub 上用户的生命周期和身份验证。

## GitHub中的企业托管用户是什么？

通过 Enterprise Managed Users，可以**从外部标识管理系统或 IdP** 管理 GitHub.com 或 GHE.com 上的用户的生命周期和身份验证。

* 你的 的 IdP 在 GitHub 上**预配新用户帐户**，该帐户有权访问企业。
* 用户必须在 **IdP 上进行身份验证**，才能访问 GitHub 上的企业资源。
* 可以通过 IdP 控制**用户名、个人资料数据、组织成员身份和存储库访问权限**。
* 如果企业使用 OIDC SSO，GitHub 将使用 IdP 的**条件访问策略 (CAP)** 验证对企业及其资源的访问。 请参阅“[关于对 IdP 的条件访问策略的支持](/zh/enterprise-cloud@latest/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/about-support-for-your-idps-conditional-access-policy)”。
* 托管用户帐户 **无法在企业外部创建公共内容**或进行协作。 请参阅“[托管用户帐户的功能和限制](/zh/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/abilities-and-restrictions-of-managed-user-accounts)”。

> \[!NOTE] Enterprise Managed Users 并不是每名客户的最佳解决方案。 要确定是否适合你的企业，请参阅 [为 GitHub Enterprise Cloud 选择企业类型](/zh/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/choosing-an-enterprise-type-for-github-enterprise-cloud)。

## EMU 如何与标识管理系统集成？

GitHub 合作伙伴与身份管理系统的一些开发人员合作，提供与 Enterprise Managed Users 的“铺好道路”集成。 为了简化配置并确保获得全面支持，请使用单个合作伙伴 IdP 进行身份验证和预配。\*\*\*\*

### 什么是合作伙伴标识提供者？

合作伙伴 IdP 使用 SAML 或 OIDC 提供身份验证，并提供跨域身份管理系统 (SCIM) 的配置。

<div class="ghd-tool rowheaders">

| 合作伙伴 IdP     | SAML                                                                                                                                                                                                                                                                                                                      | OIDC                                                                                                                                                                                                                                                                                                                                                                                                                         | SCIM                                                                                                                                                                                                                                                                                                                      |
| :----------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Entra ID     | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>                                                                                                    | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
| Okta         | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-x" aria-label="x icon" role="img"><path d="M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |
| PingFederate | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-x" aria-label="x icon" role="img"><path d="M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z"></path></svg> | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="check icon" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> |

</div>

使用单个合作伙伴 IdP 进行身份验证和预配时，GitHub 支持合作伙伴 IdP 上的应用程序，还支持与 GitHub 的 IdP 集成。

### 是否可以使用受支持合作伙伴以外的标识管理系统？

如果无法使用单个合作伙伴 IdP 进行身份验证和预配，则可使用其他身份管理系统或系统组合。 系统必须：

* 遵循 **GitHub** 的集成准则
* 使用 SAML 提供**身份验证**，遵循 SAML 2.0 规范
* 提供**使用 SCIM 进行用户生命周期管理**功能，遵守 SCIM 2.0 规范并与 GitHub 的 REST API 通信（请参阅“[使用 REST API 通过 SCIM 预配用户和组](/zh/enterprise-cloud@latest/admin/identity-and-access-management/provisioning-user-accounts-for-enterprise-managed-users/provisioning-users-with-scim-using-the-rest-api)”）

GitHub 没有明确支持混合合作伙伴 IdP 来进行身份验证和预配，而且未测试所有身份管理系统。 **GitHub 的支持团队可能无法协助你解决与混合或未测试的系统相关的问题。** 如果需要帮助，必须咨询系统的文档、支持团队或其他资源。

> \[!IMPORTANT] 用于 SSO 和 SCIM 的 Okta 与 Entra ID 的组合显式不受支持\*\*\*\*\*\*\*\*。 如果配置这种组合，GitHub的 SCIM API 将在预配尝试时向标识提供者返回错误。

## 如何管理 EMU 的用户名和配置文件信息？

GitHub 通过对 IdP 提供的标识符进行标准化，自动为每个开发人员创建用户名。 如果在规范化期间删除标识符的唯一部分，则可能会发生冲突。 请参阅“[外部身份验证的用户名注意事项](/zh/enterprise-cloud@latest/admin/identity-and-access-management/managing-iam-for-your-enterprise/username-considerations-for-external-authentication#resolving-username-problems)”。

IdP 提供了 托管用户帐户 的个人资料名称和电子邮件地址：

* 托管用户帐户 \_无法\_更改 GitHub 上的档案名称或电子邮件地址。
* IdP 只能提供一个电子邮件地址。
* 若更改 IdP 中的用户电子邮件地址，会从与用户旧电子邮件地址关联的贡献历史记录中取消链接该用户。

## 如何管理 EMUs 的角色和访问权限？

在 IdP 中，你可以为每个 托管用户帐户 提供**企业中的一个角色**，例如成员、所有者或来宾协作者。 请参阅“[企业中角色的能力](/zh/enterprise-cloud@latest/admin/user-management/managing-users-in-your-enterprise/roles-in-an-enterprise)”。

可手动管理组织成员身份（以及存储库访问权限），也可**使用 IdP 组自动更新成员身份**。 请参阅“[使用标识提供者组管理团队成员身份](/zh/enterprise-cloud@latest/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/managing-team-memberships-with-identity-provider-groups)”。

## 托管用户帐户 如何在 GitHub 上进行身份验证？

托管用户帐户 可向 GitHub 进行身份验证的位置取决于配置身份验证的方式（SAML 或 OIDC）。 请参阅“[Enterprise Managed Users 身份验证](/zh/enterprise-cloud@latest/authentication/authenticating-with-single-sign-on/authenticating-with-a-managed-user-account)”。

默认情况下，当未经身份验证的用户尝试访问你的企业时，GitHub 将显示 404 错误。 你可以选择性地启用自动重定向到单一登录 (SSO)。 请参阅“[在企业中强制执行安全设置策略](/zh/enterprise-cloud@latest/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-security-settings-in-your-enterprise#managing-sso-for-unauthenticated-users)”。

## 延伸阅读

* [Enterprise Managed Users 入门](/zh/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users)