# SCIM용 REST API 엔드포인트 REST API를 사용하여 SCIM을 사용하여 GitHub 조직 구성원의 액세스를 제어하고 관리합니다. > \[!NOTE] > 이 작업을 수행하면 SCIM을 사용해 GitHub Enterprise Cloud의 조직에 대한 액세스를 프로비전할 수 있습니다. 이 작업은 Enterprise Managed Users과(와) 함께 사용할 수 없습니다. SCIM을 사용한 관리형 사용자 계정 프로비저닝에 관한 자세한 내용은 [SCIM용 REST API 엔드포인트](/ko/enterprise-cloud@latest/rest/enterprise-admin/scim)을(를) 참조하세요. ## SCIM 정보 ### 조직을 위한 SCIM 프로비저닝 이러한 엔드포인트는 SCIM 지원 ID 공급자(ID 공급자)에서 조직 멤버 자격 프로비저닝을 자동화하는 GitHub 데 사용되며 [SCIM 표준](http://www.simplecloud.info/) 버전 2.0을 기반으로 합니다. IDP는 SCIM 엔드포인트에 대한 `https://api.github.com/scim/v2/organizations/{org}/` 기본 URL GitHub 을 사용해야 합니다. > \[!NOTE] > > * 이러한 엔드포인트는 SAML SSO를 사용하는 GitHub Enterprise Cloud 개별 조직에서만 사용할 수 있습니다. SCIM에 대한 자세한 내용은 [조직에 대한 SCIM 정보](/ko/enterprise-cloud@latest/organizations/managing-saml-single-sign-on-for-your-organization/about-scim-for-organizations)을(를) 참조하세요. SAML SSO 조직에 대한 토큰 권한 부여에 대한 자세한 내용은 [REST API에 인증](/ko/enterprise-cloud@latest/rest/overview/authenticating-to-the-rest-api)을(를) 참조하세요. > * 이러한 엔드포인트는 엔터프라이즈 계정 또는 관리형 사용자가 있는 조직와 함께 사용할 수 없습니다. ### 인증 이러한 엔드포인트를 사용하려면 조직의 소유자 GitHub 로 인증해야 합니다. REST API는 OAuth 2.0 전달자 토큰(예: GitHub App 사용자 액세스 토큰)이 헤더에 `Authorization` 포함될 것으로 예상합니다. 인증에 personal access token (classic) 사용하는 경우 범위가 `admin:org` 있어야 하며 [SAML SSO 조직에서 사용할 수 있는 권한도 부여](/ko/enterprise-cloud@latest/authentication/authenticating-with-saml-single-sign-on/authorizing-a-personal-access-token-for-use-with-saml-single-sign-on)해야 합니다. ### SAML 및 SCIM 특성 일치 조직의 SCIM ID에 사용자 계정을 성공적으로 연결 GitHub 하려면 ID 공급자의 SAML 응답 및 SCIM API 프로비저닝 호출의 특정 특성이 사용자에 대해 일치해야 합니다. #### SAML에 대한 Microsoft Entra ID SAML에 Entra ID(이전에는 Azure AD라고 함)를 사용하는 경우 다음 SAML 특성 및 SCIM 특성이 일치해야 합니다. | SAML 속성 | 일치하는 SCIM 특성 | | :-------------------------------------------------------------- | :----------- | | `http://schemas.microsoft.com/identity/claims/objectidentifier` | `externalId` | #### SAML용 기타 IdP들 SAML용 기타 IdP를 사용하려면 다음 SAML 클레임과 SCIM 특성이 일치해야 합니다. | SAML 속성 | 일치하는 SCIM 특성 | | :------- | :----------- | | `NameID` | `userName` | 이러한 SAML/SCIM 특성이 일치할 때 사용자 계정이 조직의 SCIM ID에 연결할 수 있는 두 가지 방법이 GitHub 있습니다. 1. 아직 조직의 구성원이 아닌 사용자의 경우: * IdP는 조직의 구성원이 아닌 사용자에 GitHub 대해 SCIM 프로비전 호출을 보냅니다. 이 과정을 거치면 조직 내에서 초대되지 않고 연결도 되지 않은 SCIM ID가 만들어집니다. * 사용자는 조직에서 SAML을 통해 인증합니다. * GitHub 는 SAML 및 SCIM ID를 조직의 새 사용자 계정에 자동으로 연결합니다. 2. 기존 조직 구성원의 경우: * IdP는 이미 조직의 구성원인 사용자에 GitHub 대해 SCIM 프로비전 호출을 보냅니다. * 조직 구성원이 조직 내에 연결된 SAML 아이디가 없는 경우, 조직 초대가 생성되며, 조직 내에서 연결되지 않은 SCIM 아이디가 생성됩니다. 사용자는 조직의 SAML을 통해 인증하여 SAML과 SCIM ID를 연결합니다. * 조직 구성원이 조직에 GitHub 연결된 SAML ID가 있는 경우 SCIM ID를 조직의 기존 사용자 계정에 자동으로 연결합니다. 조직 초대가 생성되지 않았습니다. 사용자가 조직에서 SCIM ID에 제대로 연결되도록 하면 IdP 쪽에서 앱에 대한 사용자의 액세스가 제거될 때 SCIM 프로비전 해제와 관련된 예기치 않은 문제를 방지할 수 있습니다. 조직에서 연결된 SCIM ID를 감사하는 방법에 대한 자세한 내용은 [조직의 ID 및 액세스 관리 문제 해결](/ko/enterprise-cloud@latest/organizations/managing-saml-single-sign-on-for-your-organization/troubleshooting-identity-and-access-management-for-your-organization#auditing-organization-members-on-github)을(를) 참조하세요. ### 지원되는 SCIM 사용자 특성 | 이름 | 형식 | 설명 | | ----------------- | --------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `userName` | `string` | 사용자의 사용자 이름입니다. | | `name.givenName` | `string` | 사용자의 이름입니다. | | `name.familyName` | `string` | 사용자의 성입니다. | | `emails` | `array` | 사용자 메일 목록입니다. | | `externalId` | `string` | 이 식별자는 SAML 공급자에 의해 생성되며 SAML 공급자가 GitHub 사용자와 일치하도록 고유한 ID로 사용됩니다. 사용자에 대한 `externalID`은 SAML 공급자에서 찾거나, [List SCIM 프로비전된 아이덴티티](#list-scim-provisioned-identities) 엔드포인트를 사용하여 사용자의 GitHub 사용자 이름이나 이메일 주소와 같은 다른 알려진 특성을 필터링하여 찾을 수 있습니다. | | `id` | `string` | GitHub SCIM 엔드포인트에서 생성된 식별자입니다. | | `active` | `boolean` | ID가 활성 상태인지(true) 또는 ID 프로비전을 해제해야 하는지(false)를 나타내는 데 사용됩니다. | > \[!NOTE] > 이 엔드포인트들은 대문자와 소문자를 구별합니다. 예를 들어 `Users` 엔드포인트의 첫 번째 문자는 대문자로 시작해야 합니다. > > ```shell > GET /scim/v2/organizations/{org}/Users/{scim_user_id} > ``` > \[!NOTE] > Most endpoints use `Authorization: Bearer ` and `Accept: application/vnd.github+json` headers, plus `X-GitHub-Api-Version: 2022-11-28`. Curl examples below omit these standard headers for brevity. ## List SCIM provisioned identities ``` GET /scim/v2/organizations/{org}/Users ``` Retrieves a paginated list of all provisioned organization members, including pending invitations. If you provide the filter parameter, the resources for all matching provisions members are returned. The returned list of SCIM provisioned identities from the GitHub Enterprise Cloud might not always match the organization or enterprise member list. Here is why that can occur: When an organization invitation is generated by a SCIM integration, this creates an unlinked SCIM identity in the organization. When a user logs into their GitHub user account, visits the organization, and successfully authenticates via SAML, they get added as an organization member and linked to their SAML/SCIM identity in the organization. If the user does not do this, the SCIM identity will remain in the organization, not linked to any organization member. A user's organization membership (inviting and removing a user to/from the organization) should only be managed by a SCIM integration when this is configured for a GitHub organization. If a GitHub user who has a linked SCIM identity is removed from the organization using the GitHub UI or non-SCIM API, as opposed to the SCIM integration, this can leave behind a stale SAML/SCIM identity in the organization for the user. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`startIndex`** (integer) Used for pagination: the index of the first result to return. * **`count`** (integer) Used for pagination: the number of results to return. * **`filter`** (string) Filters results using the equals query parameter operator (eq). You can filter results that are equal to id, userName, emails, and externalId. For example, to search for an identity with the userName Octocat, you would use this query: ?filter=userName%20eq%20"Octocat". To filter results for the identity with the email , you would use this query: ?filter=emails%20eq%20"". ### HTTP response status codes * **200** - OK * **304** - Not modified * **400** - Bad request * **403** - Forbidden * **404** - Resource not found * **429** - Too many requests ### Code examples #### Example 1: Status Code 200 **Request:** ```curl curl -L \ -X GET \ https://api.github.com/scim/v2/organizations/ORG/Users ``` **Response schema (Status: 200):** * `schemas`: required, array of string * `totalResults`: required, integer * `itemsPerPage`: required, integer * `startIndex`: required, integer * `Resources`: required, array of `SCIM /Users`: * `schemas`: required, array of string * `id`: required, string * `externalId`: string or null * `userName`: string or null * `displayName`: string or null * `name`: object: * `givenName`: string or null * `familyName`: string or null * `formatted`: string or null * `emails`: required, array of objects: * `value`: required, string * `primary`: boolean * `type`: string * `active`: required, boolean * `meta`: required, object: * `resourceType`: string * `created`: string, format: date-time * `lastModified`: string, format: date-time * `location`: string, format: uri * `organization_id`: integer * `operations`: array of objects: * `op`: required, string, enum: `add`, `remove`, `replace` * `path`: string * `value`: one of: * **string** * **object** * **array** * `groups`: array of objects: * `value`: string * `display`: string * `roles`: array of objects: * `value`: string * `primary`: boolean * `type`: string * `display`: string #### Example 2: Status Code 200 **Request:** ```curl curl -L \ -X GET \ https://api.github.com/scim/v2/organizations/ORG/Users ``` **Response schema (Status: 200):** * `schemas`: required, array of string * `totalResults`: required, integer * `itemsPerPage`: required, integer * `startIndex`: required, integer * `Resources`: required, array of `SCIM /Users`: * `schemas`: required, array of string * `id`: required, string * `externalId`: string or null * `userName`: string or null * `displayName`: string or null * `name`: object: * `givenName`: string or null * `familyName`: string or null * `formatted`: string or null * `emails`: required, array of objects: * `value`: required, string * `primary`: boolean * `type`: string * `active`: required, boolean * `meta`: required, object: * `resourceType`: string * `created`: string, format: date-time * `lastModified`: string, format: date-time * `location`: string, format: uri * `organization_id`: integer * `operations`: array of objects: * `op`: required, string, enum: `add`, `remove`, `replace` * `path`: string * `value`: one of: * **string** * **object** * **array** * `groups`: array of objects: * `value`: string * `display`: string * `roles`: array of objects: * `value`: string * `primary`: boolean * `type`: string * `display`: string ## Provision and invite a SCIM user ``` POST /scim/v2/organizations/{org}/Users ``` Provisions organization membership for a user, and sends an activation email to the email address. If the user was previously a member of the organization, the invitation will reinstate any former privileges that the user had. For more information about reinstating former members, see "Reinstating a former member of your organization." ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. #### Body parameters * **`userName`** (string) (required) Configured by the admin. Could be an email, login, or username * **`displayName`** (string) The name of the user, suitable for display to end-users * **`name`** (object) (required) * **`givenName`** (string) (required) * **`familyName`** (string) (required) * **`formatted`** (string) * **`emails`** (array of objects) (required) user emails * **`value`** (string) (required) * **`primary`** (boolean) * **`type`** (string) * **`schemas`** (array of strings) * **`externalId`** (string) * **`groups`** (array of strings) * **`active`** (boolean) ### HTTP response status codes * **201** - Created * **304** - Not modified * **400** - Bad request * **403** - Forbidden * **404** - Resource not found * **409** - Conflict * **500** - Internal server error ### Code examples #### Example **Request:** ```curl curl -L \ -X POST \ https://api.github.com/scim/v2/organizations/ORG/Users \ -d '{ "userName": "mona.octocat@okta.example.com", "externalId": "a7d0f98382", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true }, { "value": "monalisa@octocat.github.com" } ] }' ``` **Response schema (Status: 201):** * `schemas`: required, array of string * `id`: required, string * `externalId`: string or null * `userName`: string or null * `displayName`: string or null * `name`: object: * `givenName`: string or null * `familyName`: string or null * `formatted`: string or null * `emails`: required, array of objects: * `value`: required, string * `primary`: boolean * `type`: string * `active`: required, boolean * `meta`: required, object: * `resourceType`: string * `created`: string, format: date-time * `lastModified`: string, format: date-time * `location`: string, format: uri * `organization_id`: integer * `operations`: array of objects: * `op`: required, string, enum: `add`, `remove`, `replace` * `path`: string * `value`: one of: * **string** * **object** * **array** * `groups`: array of objects: * `value`: string * `display`: string * `roles`: array of objects: * `value`: string * `primary`: boolean * `type`: string * `display`: string ## Get SCIM provisioning information for a user ``` GET /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Gets SCIM provisioning information for a user. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. ### HTTP response status codes * **200** - OK * **304** - Not modified * **403** - Forbidden * **404** - Resource not found ### Code examples #### Example **Request:** ```curl curl -L \ -X GET \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID ``` **Response schema (Status: 200):** Same response schema as [Provision and invite a SCIM user](#provision-and-invite-a-scim-user). ## Update a provisioned organization membership ``` PUT /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Replaces an existing provisioned user's information. You must provide all the information required for the user as if you were provisioning them for the first time. Any existing user information that you don't provide will be removed. If you want to only update a specific attribute, use the Update an attribute for a SCIM user endpoint instead. You must at least provide the required values for the user: userName, name, and emails. Warning Setting active: false removes the user from the organization, deletes the external identity, and deletes the associated {scim\_user\_id}. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. #### Body parameters * **`schemas`** (array of strings) * **`displayName`** (string) The name of the user, suitable for display to end-users * **`externalId`** (string) * **`groups`** (array of strings) * **`active`** (boolean) * **`userName`** (string) (required) Configured by the admin. Could be an email, login, or username * **`name`** (object) (required) * **`givenName`** (string) (required) * **`familyName`** (string) (required) * **`formatted`** (string) * **`emails`** (array of objects) (required) user emails * **`type`** (string) * **`value`** (string) (required) * **`primary`** (boolean) ### HTTP response status codes * **200** - OK * **304** - Not modified * **403** - Forbidden * **404** - Resource not found ### Code examples #### Example **Request:** ```curl curl -L \ -X PUT \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \ -d '{ "userName": "mona.octocat@okta.example.com", "externalId": "a7d0f98382", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true } ] }' ``` **Response schema (Status: 200):** Same response schema as [Provision and invite a SCIM user](#provision-and-invite-a-scim-user). ## Update an attribute for a SCIM user ``` PATCH /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Allows you to change a provisioned user's individual attributes. To change a user's values, you must provide a specific Operations JSON format that contains at least one of the add, remove, or replace operations. For examples and more information on the SCIM operations format, see the SCIM specification. Note Complicated SCIM path selectors that include filters are not supported. For example, a path selector defined as "path": "emails\[type eq "work"]" will not work. Warning If you set active:false using the replace operation (as shown in the JSON example below), it removes the user from the organization, deletes the external identity, and deletes the associated :scim\_user\_id. { "Operations":\[{ "op":"replace", "value":{ "active":false } }] } ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. #### Body parameters * **`schemas`** (array of strings) * **`Operations`** (array of objects) (required) Set of operations to be performed * **`op`** (string) (required) Can be one of: `add`, `remove`, `replace` * **`path`** (string) * **`value`** (object or array or string) ### HTTP response status codes * **200** - OK * **304** - Not modified * **400** - Bad request * **403** - Forbidden * **404** - Resource not found * **429** - Too Many Requests ### Code examples #### Example **Request:** ```curl curl -L \ -X PATCH \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \ -d '{ "Operations": [ { "op": "replace", "value": { "displayName": "Octocat" } } ] }' ``` **Response schema (Status: 200):** Same response schema as [Provision and invite a SCIM user](#provision-and-invite-a-scim-user). ## Delete a SCIM user from an organization ``` DELETE /scim/v2/organizations/{org}/Users/{scim_user_id} ``` Deletes a SCIM user from an organization. ### Parameters #### Headers * **`accept`** (string) Setting to `application/vnd.github+json` is recommended. #### Path and query parameters * **`org`** (string) (required) The organization name. The name is not case sensitive. * **`scim_user_id`** (string) (required) The unique identifier of the SCIM user. ### HTTP response status codes * **204** - No Content * **304** - Not modified * **403** - Forbidden * **404** - Resource not found ### Code examples #### Example **Request:** ```curl curl -L \ -X DELETE \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID ``` **Response schema (Status: 204):**