# REST-API-Endpunkte für SCIM Verwenden Sie die REST-API, um den Zugriff Ihrer GitHub Organisationsmitglieder mit SCIM zu steuern und zu verwalten. > \[!NOTE] > Mit diesem Vorgang kannst du mithilfe von SCIM Zugriff auf eine Organisation über GitHub Enterprise Cloud bereitstellen. Der Vorgang ist für die Verwendung mit Enterprise Managed Users nicht verfügbar. Weitere Informationen zur Bereitstellung von verwaltete Benutzerkonten mithilfe von SCIM findest du unter [REST-API-Endpunkte für SCIM](/de/enterprise-cloud@latest/rest/enterprise-admin/scim). ## Informationen zu SCIM ### SCIM-Bereitstellung für Organisationen Diese Endpunkte werden von SCIM-fähigen Identitätsanbietern (IdPs) verwendet, um die Bereitstellung der GitHub Organisationsmitgliedschaft zu automatisieren und basieren auf Version 2.0 des [SCIM-Standards](http://www.simplecloud.info/). IdPs sollten die Basis-URL `https://api.github.com/scim/v2/organizations/{org}/` für GitHub SCIM-Endpunkte verwenden. > \[!NOTE] > > * Diese Endpunkte sind nur für einzelne Organisationen verfügbar, die GitHub Enterprise Cloud mit aktiviertem SAML-SSO verwenden. Weitere Informationen zu SCIM findest du unter [Informationen zu SCIM für Organisationen](/de/enterprise-cloud@latest/organizations/managing-saml-single-sign-on-for-your-organization/about-scim-for-organizations). Weitere Informationen zum Autorisieren eines Tokens für eine SAML SSO-Organisation findest du unter [Authentifizieren bei der REST-API](/de/enterprise-cloud@latest/rest/overview/authenticating-to-the-rest-api). > * Diese Endpunkte können nicht mit einem Unternehmenskonto oder mit einem Organisation mit verwalteten Benutzer\*innen. ### Authentifizierung Sie müssen sich als Besitzer einer GitHub Organisation authentifizieren, um diese Endpunkte zu verwenden. Die REST-API erwartet, dass ein OAuth 2.0 Bearer-Token (z. B. ein GitHub App Benutzerzugriffstoken) in den `Authorization` Header aufgenommen wird. Wenn Sie ein personal access token (classic) für die Authentifizierung verwenden, muss es den `admin:org`-Bereich haben und Sie müssen es auch [für die Verwendung mit Ihrer SAML-SSO-Organisation autorisieren](/de/enterprise-cloud@latest/authentication/authenticating-with-saml-single-sign-on/authorizing-a-personal-access-token-for-use-with-saml-single-sign-on). ### Abgleich von SAML- und SCIM-Attributen Um ein GitHub Benutzerkonto erfolgreich mit einer SCIM-Identität in einer Organisation zu verknüpfen, müssen bestimmte Attribute aus der SAML-Antwort Ihres Identitätsanbieters und dem SCIM-API-Bereitstellungsaufruf für einen Benutzer übereinstimmen. #### Microsoft Entra ID für SAML Bei Verwendung der Entra-ID (zuvor als Azure AD bezeichnet) für SAML muss das folgende SAML-Attribut und das SCIM-Attribut übereinstimmen. | SAML-Attribut | Abgleich von SCIM-Attributen | | :-------------------------------------------------------------- | :--------------------------- | | `http://schemas.microsoft.com/identity/claims/objectidentifier` | `externalId` | #### Andere IdPs für SAML Bei Verwendung anderer Identitätsanbieter für SAML müssen die folgenden SAML-Ansprüche und das SCIM-Attribut übereinstimmen. | SAML-Attribut | Abgleich von SCIM-Attributen | | :------------ | :--------------------------- | | `NameID` | `userName` | Es gibt zwei verschiedene Möglichkeiten, wie ein GitHub Benutzerkonto mit einer SCIM-Identität in einer Organisation verknüpft werden kann, wenn diese SAML/SCIM-Attribute übereinstimmen: 1. Für Benutzende, die noch keine Mitglieder der Organisation sind: * Der IdP sendet einen SCIM-Bereitstellungsaufruf GitHub für einen Benutzer, der kein Mitglied einer Organisation ist. Dadurch werden eine Organisationseinladung und eine nicht verknüpfte SCIM-Identität in der Organisation generiert. * Die Benutzenden authentifizieren sich in der Organisation über SAML. * GitHub verknüpft automatisch die SAML- und SCIM-Identität mit dem neuen Benutzerkonto in der Organisation. 2. Für vorhandene Organisationsmitglieder: * Der IdP sendet einen SCIM-Bereitstellungsaufruf an GitHub für einen Benutzer, der bereits Mitglied der Organisation ist. * Wenn das Organisationsmitglied in der Organisation über keine verknüpfte SAML-Identität verfügt, werden eine Organisationseinladung und eine nicht verknüpfte SCIM-Identität in der Organisation generiert. Benutzende authentifizieren sich in der Organisation über SAML, um ihre SAML- und SCIM-Identitäten zu verknüpfen. * Wenn das Organisationsmitglied über eine verknüpfte SAML-Identität in der Organisation verfügt, GitHub wird die SCIM-Identität automatisch mit dem vorhandenen Benutzerkonto in der Organisation verknüpft. Es wird keine Organisationseinladung erstellt. Stelle sicher, dass Benutzende in der Organisation ordnungsgemäß mit ihrer SCIM-Identität verknüpft werden, um unerwartete Probleme bei der SCIM-Deprovisionierung zu verhindern, wenn der Zugriff der Benutzenden auf die App auf der IdP-Seite entfernt wird. Weitere Informationen zum Überwachen der verknüpften SCIM-Identitäten in einer Organisation findest du unter [Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation](/de/enterprise-cloud@latest/organizations/managing-saml-single-sign-on-for-your-organization/troubleshooting-identity-and-access-management-for-your-organization#auditing-organization-members-on-github). ### Unterstützte SCIM-Benutzerattribute | Name | Typ | BESCHREIBUNG | | ----------------- | --------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `userName` | `string` | Der Benutzername für den oder die Benutzer\*in | | `name.givenName` | `string` | Der Vorname des Benutzers. | | `name.familyName` | `string` | Der Nachname des Benutzers. | | `emails` | `array` | Liste der Benutzer-E-Mails | | `externalId` | `string` | Dieser Bezeichner wird vom SAML-Anbieter generiert und wird als eindeutige ID vom SAML-Anbieter verwendet, um mit einem GitHub Benutzer abzugleichen. Sie finden die `externalID` für einen Benutzer entweder beim SAML-Anbieter oder mithilfe des Endpunkts [„List SCIM provisioned identities“](#list-scim-provisioned-identities) und der dafür bereitgestellten Filtermöglichkeiten, indem Sie nach anderen bekannten Attributen filtern, z. B. dem GitHub-Benutzernamen oder der E-Mail-Adresse des Benutzers. | | `id` | `string` | Bezeichner, der vom GitHub SCIM-Endpunkt generiert wird. | | `active` | `boolean` | Gibt an, ob die Identität aktiv (true) ist oder die Bereitstellung aufgehoben werden soll (false) | > \[!NOTE] > Bei diesen Endpunkten ist die Groß- und Kleinschreibung vertraulich. Beispielsweise muss der erste Buchstabe des `Users`-Endpunkts großgeschrieben werden: > > ```shell > GET /scim/v2/organizations/{org}/Users/{scim_user_id} > ``` > \[!NOTE] > Most endpoints use `Authorization: Bearer ` and `Accept: application/vnd.github+json` headers, plus `X-GitHub-Api-Version: 2022-11-28`. Curl examples below omit these standard headers for brevity. ## List SCIM provisioned identities ``` GET /scim/v2/organizations/{org}/Users ``` Retrieves a paginated list of all provisioned organization members, including pending invitations. If you provide the filter parameter, the resources for all matching provisions members are returned. The returned list of SCIM provisioned identities from the GitHub Enterprise Cloud might not always match the organization or enterprise member list. Here is why that can occur: When an organization invitation is generated by a SCIM integration, this creates an unlinked SCIM identity in the organization. When a user logs into their GitHub user account, visits the organization, and successfully authenticates via SAML, they get added as an organization member and linked to their SAML/SCIM identity in the organization. If the user does not do this, the SCIM identity will remain in the organization, not linked to any organization member. A user's organization membership (inviting and removing a user to/from the organization) should only be managed by a SCIM integration when this is configured for a GitHub organization. If a GitHub user who has a linked SCIM identity is removed from the organization using the GitHub UI or non-SCIM API, as opposed to the SCIM integration, this can leave behind a stale SAML/SCIM identity in the organization for the user. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`startIndex`** (integer) Used for pagination: the index of the first result to return. * **`count`** (integer) Used for pagination: the number of results to return. * **`filter`** (string) Filters results using the equals query parameter operator (eq). You can filter results that are equal to id, userName, emails, and externalId. For example, to search for an identity with the userName Octocat, you would use this query: ?filter=userName%20eq%20"Octocat". To filter results for the identity with the email , you would use this query: ?filter=emails%20eq%20"". ### HTTP response status codes * **200** - OK * **304** - Not modified * **400** - Bad request * **403** - Forbidden * **404** - Resource not found * **429** - Too many requests ### Code examples #### Example 1: Status Code 200 **Request:** ```curl curl -L \ -X GET \ https://api.github.com/scim/v2/organizations/ORG/Users ``` **Response schema (Status: 200):** * `schemas`: required, array of string * `totalResults`: required, integer * `itemsPerPage`: required, integer * `startIndex`: required, integer * `Resources`: required, array of `SCIM /Users`: * `schemas`: required, array of string * `id`: required, string * `externalId`: string or null * `userName`: string or null * `displayName`: string or null * `name`: object: * `givenName`: string or null * `familyName`: string or null * `formatted`: string or null * `emails`: required, array of objects: * `value`: required, string * `primary`: boolean * `type`: string * `active`: required, boolean * `meta`: required, object: * `resourceType`: string * `created`: string, format: date-time * `lastModified`: string, format: date-time * `location`: string, format: uri * `organization_id`: integer * `operations`: array of objects: * `op`: required, string, enum: `add`, `remove`, `replace` * `path`: string * `value`: one of: * **string** * **object** * **array** * `groups`: array of objects: * `value`: string * `display`: string * `roles`: array of objects: * `value`: string * `primary`: boolean * `type`: string * `display`: string #### Example 2: Status Code 200 **Request:** ```curl curl -L \ -X GET \ https://api.github.com/scim/v2/organizations/ORG/Users ``` **Response schema (Status: 200):** * `schemas`: required, array of string * `totalResults`: required, integer * `itemsPerPage`: required, integer * `startIndex`: required, integer * `Resources`: required, array of `SCIM /Users`: * `schemas`: required, array of string * `id`: required, string * `externalId`: string or null * `userName`: string or null * `displayName`: string or null * `name`: object: * `givenName`: string or null * `familyName`: string or null * `formatted`: string or null * `emails`: required, array of objects: * `value`: required, string * `primary`: boolean * `type`: string * `active`: required, boolean * `meta`: required, object: * `resourceType`: string * `created`: string, format: date-time * `lastModified`: string, format: date-time * `location`: string, format: uri * `organization_id`: integer * `operations`: array of objects: * `op`: required, string, enum: `add`, `remove`, `replace` * `path`: string * `value`: one of: * **string** * **object** * **array** * `groups`: array of objects: * `value`: string * `display`: string * `roles`: array of objects: * `value`: string * `primary`: boolean * `type`: string * `display`: string ## Provision and invite a SCIM user ``` POST /scim/v2/organizations/{org}/Users ``` Provisions organization membership for a user, and sends an activation email to the email address. If the user was previously a member of the organization, the invitation will reinstate any former privileges that the user had. For more information about reinstating former members, see "Reinstating a former member of your organization." ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. #### Body parameters * **`userName`** (string) (required) Configured by the admin. Could be an email, login, or username * **`displayName`** (string) The name of the user, suitable for display to end-users * **`name`** (object) (required) * **`givenName`** (string) (required) * **`familyName`** (string) (required) * **`formatted`** (string) * **`emails`** (array of objects) (required) user emails * **`value`** (string) (required) * **`primary`** (boolean) * **`type`** (string) * **`schemas`** (array of strings) * **`externalId`** (string) * **`groups`** (array of strings) * **`active`** (boolean) ### HTTP response status codes * **201** - Created * **304** - Not modified * **400** - Bad request * **403** - Forbidden * **404** - Resource not found * **409** - Conflict * **500** - Internal server error ### Code examples #### Example **Request:** ```curl curl -L \ -X POST \ https://api.github.com/scim/v2/organizations/ORG/Users \ -d '{ "userName": "mona.octocat@okta.example.com", "externalId": "a7d0f98382", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true }, { "value": "monalisa@octocat.github.com" } ] }' ``` **Response schema (Status: 201):** * `schemas`: required, array of string * `id`: required, string * `externalId`: string or null * `userName`: string or null * `displayName`: string or null * `name`: object: * `givenName`: string or null * `familyName`: string or null * `formatted`: string or null * `emails`: required, array of objects: * `value`: required, string * `primary`: boolean * `type`: string * `active`: required, boolean * `meta`: required, object: * `resourceType`: string * `created`: string, format: date-time * `lastModified`: string, format: date-time * `location`: string, format: uri * `organization_id`: integer * `operations`: array of objects: * `op`: required, string, enum: `add`, `remove`, `replace` * `path`: string * `value`: one of: * **string** * **object** * **array** * `groups`: array of objects: * `value`: string * `display`: string * `roles`: array of objects: * `value`: string * `primary`: boolean * `type`: string * `display`: string ## Get SCIM provisioning information for a user ``` GET /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Gets SCIM provisioning information for a user. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. ### HTTP response status codes * **200** - OK * **304** - Not modified * **403** - Forbidden * **404** - Resource not found ### Code examples #### Example **Request:** ```curl curl -L \ -X GET \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID ``` **Response schema (Status: 200):** Same response schema as [Provision and invite a SCIM user](#provision-and-invite-a-scim-user). ## Update a provisioned organization membership ``` PUT /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Replaces an existing provisioned user's information. You must provide all the information required for the user as if you were provisioning them for the first time. Any existing user information that you don't provide will be removed. If you want to only update a specific attribute, use the Update an attribute for a SCIM user endpoint instead. You must at least provide the required values for the user: userName, name, and emails. Warning Setting active: false removes the user from the organization, deletes the external identity, and deletes the associated {scim\_user\_id}. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. #### Body parameters * **`schemas`** (array of strings) * **`displayName`** (string) The name of the user, suitable for display to end-users * **`externalId`** (string) * **`groups`** (array of strings) * **`active`** (boolean) * **`userName`** (string) (required) Configured by the admin. Could be an email, login, or username * **`name`** (object) (required) * **`givenName`** (string) (required) * **`familyName`** (string) (required) * **`formatted`** (string) * **`emails`** (array of objects) (required) user emails * **`type`** (string) * **`value`** (string) (required) * **`primary`** (boolean) ### HTTP response status codes * **200** - OK * **304** - Not modified * **403** - Forbidden * **404** - Resource not found ### Code examples #### Example **Request:** ```curl curl -L \ -X PUT \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \ -d '{ "userName": "mona.octocat@okta.example.com", "externalId": "a7d0f98382", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true } ] }' ``` **Response schema (Status: 200):** Same response schema as [Provision and invite a SCIM user](#provision-and-invite-a-scim-user). ## Update an attribute for a SCIM user ``` PATCH /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Allows you to change a provisioned user's individual attributes. To change a user's values, you must provide a specific Operations JSON format that contains at least one of the add, remove, or replace operations. For examples and more information on the SCIM operations format, see the SCIM specification. Note Complicated SCIM path selectors that include filters are not supported. For example, a path selector defined as "path": "emails\[type eq "work"]" will not work. Warning If you set active:false using the replace operation (as shown in the JSON example below), it removes the user from the organization, deletes the external identity, and deletes the associated :scim\_user\_id. { "Operations":\[{ "op":"replace", "value":{ "active":false } }] } ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. #### Body parameters * **`schemas`** (array of strings) * **`Operations`** (array of objects) (required) Set of operations to be performed * **`op`** (string) (required) Can be one of: `add`, `remove`, `replace` * **`path`** (string) * **`value`** (object or array or string) ### HTTP response status codes * **200** - OK * **304** - Not modified * **400** - Bad request * **403** - Forbidden * **404** - Resource not found * **429** - Too Many Requests ### Code examples #### Example **Request:** ```curl curl -L \ -X PATCH \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \ -d '{ "Operations": [ { "op": "replace", "value": { "displayName": "Octocat" } } ] }' ``` **Response schema (Status: 200):** Same response schema as [Provision and invite a SCIM user](#provision-and-invite-a-scim-user). ## Delete a SCIM user from an organization ``` DELETE /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Deletes a SCIM user from an organization. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. ### HTTP response status codes * **204** - No Content * **304** - Not modified * **403** - Forbidden * **404** - Resource not found ### Code examples #### Example **Request:** ```curl curl -L \ -X DELETE \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID ``` **Response schema (Status: 204):**