{"meta":{"title":"关于 Enterprise Managed Users","intro":"了解企业如何从标识提供者 (dP) 管理 GitHub 上用户的生命周期和身份验证。","product":"企业管理员","breadcrumbs":[{"href":"/zh/enterprise-cloud@latest/admin","title":"企业管理员"},{"href":"/zh/enterprise-cloud@latest/admin/concepts","title":"概念"},{"href":"/zh/enterprise-cloud@latest/admin/concepts/identity-and-access-management","title":"标识和访问管理"},{"href":"/zh/enterprise-cloud@latest/admin/concepts/identity-and-access-management/enterprise-managed-users","title":"企业管理用户"}],"documentType":"article"},"body":"# 关于 Enterprise Managed Users\n\n了解企业如何从标识提供者 (dP) 管理 GitHub 上用户的生命周期和身份验证。\n\n## GitHub中的企业托管用户是什么?\n\n通过 Enterprise Managed Users,可以**从外部标识管理系统或 IdP** 管理 GitHub.com 或 GHE.com 上的用户的生命周期和身份验证。\n\n* 你的 的 IdP 在 GitHub 上**预配新用户帐户**,该帐户有权访问企业。\n* 用户必须在 **IdP 上进行身份验证**,才能访问 GitHub 上的企业资源。\n* 可以通过 IdP 控制**用户名、个人资料数据、组织成员身份和存储库访问权限**。\n* 如果企业使用 OIDC SSO,GitHub 将使用 IdP 的**条件访问策略 (CAP)** 验证对企业及其资源的访问。 请参阅“[关于对 IdP 的条件访问策略的支持](/zh/enterprise-cloud@latest/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/about-support-for-your-idps-conditional-access-policy)”。\n* 托管用户帐户 **无法在企业外部创建公共内容**或进行协作。 请参阅“[托管用户帐户的功能和限制](/zh/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/abilities-and-restrictions-of-managed-user-accounts)”。\n\n> \\[!NOTE] Enterprise Managed Users 并不是每名客户的最佳解决方案。 要确定是否适合你的企业,请参阅 [为 GitHub Enterprise Cloud 选择企业类型](/zh/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/choosing-an-enterprise-type-for-github-enterprise-cloud)。\n\n## EMU 如何与标识管理系统集成?\n\nGitHub 合作伙伴与身份管理系统的一些开发人员合作,提供与 Enterprise Managed Users 的“铺好道路”集成。 为了简化配置并确保获得全面支持,请使用单个合作伙伴 IdP 进行身份验证和预配。\\*\\*\\*\\*\n\n### 什么是合作伙伴标识提供者?\n\n合作伙伴 IdP 使用 SAML 或 OIDC 提供身份验证,并提供跨域身份管理系统 (SCIM) 的配置。\n\n
\n\n| 合作伙伴 IdP | SAML | OIDC | SCIM |\n| :----------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |\n| Entra ID | | | |\n| Okta | | | |\n| PingFederate | | | |\n\n
\n\n使用单个合作伙伴 IdP 进行身份验证和预配时,GitHub 支持合作伙伴 IdP 上的应用程序,还支持与 GitHub 的 IdP 集成。\n\n### 是否可以使用受支持合作伙伴以外的标识管理系统?\n\n如果无法使用单个合作伙伴 IdP 进行身份验证和预配,则可使用其他身份管理系统或系统组合。 系统必须:\n\n* 遵循 **GitHub** 的集成准则\n* 使用 SAML 提供**身份验证**,遵循 SAML 2.0 规范\n* 提供**使用 SCIM 进行用户生命周期管理**功能,遵守 SCIM 2.0 规范并与 GitHub 的 REST API 通信(请参阅“[使用 REST API 通过 SCIM 预配用户和组](/zh/enterprise-cloud@latest/admin/identity-and-access-management/provisioning-user-accounts-for-enterprise-managed-users/provisioning-users-with-scim-using-the-rest-api)”)\n\nGitHub 没有明确支持混合合作伙伴 IdP 来进行身份验证和预配,而且未测试所有身份管理系统。 **GitHub 的支持团队可能无法协助你解决与混合或未测试的系统相关的问题。** 如果需要帮助,必须咨询系统的文档、支持团队或其他资源。\n\n> \\[!IMPORTANT] 用于 SSO 和 SCIM 的 Okta 与 Entra ID 的组合显式不受支持\\*\\*\\*\\*\\*\\*\\*\\*。 如果配置这种组合,GitHub的 SCIM API 将在预配尝试时向标识提供者返回错误。\n\n## 如何管理 EMU 的用户名和配置文件信息?\n\nGitHub 通过对 IdP 提供的标识符进行标准化,自动为每个开发人员创建用户名。 如果在规范化期间删除标识符的唯一部分,则可能会发生冲突。 请参阅“[外部身份验证的用户名注意事项](/zh/enterprise-cloud@latest/admin/identity-and-access-management/managing-iam-for-your-enterprise/username-considerations-for-external-authentication#resolving-username-problems)”。\n\nIdP 提供了 托管用户帐户 的个人资料名称和电子邮件地址:\n\n* 托管用户帐户 \\_无法\\_更改 GitHub 上的档案名称或电子邮件地址。\n* IdP 只能提供一个电子邮件地址。\n* 若更改 IdP 中的用户电子邮件地址,会从与用户旧电子邮件地址关联的贡献历史记录中取消链接该用户。\n\n## 如何管理 EMUs 的角色和访问权限?\n\n在 IdP 中,你可以为每个 托管用户帐户 提供**企业中的一个角色**,例如成员、所有者或来宾协作者。 请参阅“[企业中角色的能力](/zh/enterprise-cloud@latest/admin/user-management/managing-users-in-your-enterprise/roles-in-an-enterprise)”。\n\n可手动管理组织成员身份(以及存储库访问权限),也可**使用 IdP 组自动更新成员身份**。 请参阅“[使用标识提供者组管理团队成员身份](/zh/enterprise-cloud@latest/admin/identity-and-access-management/using-enterprise-managed-users-for-iam/managing-team-memberships-with-identity-provider-groups)”。\n\n## 托管用户帐户 如何在 GitHub 上进行身份验证?\n\n托管用户帐户 可向 GitHub 进行身份验证的位置取决于配置身份验证的方式(SAML 或 OIDC)。 请参阅“[Enterprise Managed Users 身份验证](/zh/enterprise-cloud@latest/authentication/authenticating-with-single-sign-on/authenticating-with-a-managed-user-account)”。\n\n默认情况下,当未经身份验证的用户尝试访问你的企业时,GitHub 将显示 404 错误。 你可以选择性地启用自动重定向到单一登录 (SSO)。 请参阅“[在企业中强制执行安全设置策略](/zh/enterprise-cloud@latest/admin/policies/enforcing-policies-for-your-enterprise/enforcing-policies-for-security-settings-in-your-enterprise#managing-sso-for-unauthenticated-users)”。\n\n## 延伸阅读\n\n* [Enterprise Managed Users 入门](/zh/enterprise-cloud@latest/admin/identity-and-access-management/understanding-iam-for-enterprises/getting-started-with-enterprise-managed-users)"}