Skip to main content

使用 SCIM 为企业配置用户预配

可以为 GitHub AE 配置跨域标识管理系统 (SCIM),当将GitHub AE 的应用程序分配给标识提供者上的用户时,该系统会自动预配用户帐户。

Who can use this feature

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

关于 GitHub AE 的用户预配

GitHub AE 使用 SAML SSO 进行用户身份验证。 您可以从支持 SAML 2.0 标准的 IdP 集中管理对 GitHub AE 的访问。 有关详细信息,请参阅“为企业配置 SAML 单一登录”。

你可以配置 SCIM 以自动创建或暂停用户帐户,并且在 IdP 上分配或取消分配应用程序时,可 授予 GitHub AE 的访问权限。 有关 SCIM 的详细信息,请参阅 IETF 网站上的跨域身份管理系统:协议 (RFC 7644)

如果不使用 SCIM 配置用户预配,则向用户分配或取消分配应用程序时,IdP 将不会自动与 GitHub AE 通信。 如果没有 SCIM,GitHub AE 会在有人第一次导航到 GitHub AE 并通过 IdP 进行身份验证来登录时使用 SAML 实时 (JIT) 预配创建用户帐户。

配置预配使 IdP 能够在将 GitHub AE 的应用程序分配或取消分配给 IdP 上的用户时与 your enterprise 通信。 当你在分配应用程序时,IdP 将提示 your enterprise 创建帐户并向用户发送一封登录电子邮件。 取消分配应用程序时,IdP 将与 GitHub AE 通信以取消任何 SAML 会话并禁用成员的帐户。

要为企业配置预配,必须在 GitHub AE 上启用预配,然后在 IdP 上安装和配置预配应用程序。

关于标识和声明

在 IdP 管理员授予对 your enterprise 的访问权限后,用户可以通过 IdP 进行身份验证,以使用 SAML SSO 访问 GitHub AE。

在身份验证期间,GitHub AE会尝试将用户与 SAML 标识相关联。 默认情况下,GitHub AE 会将 IdP 中的 NameID 声明与帐户的用户名进行比较。 为进行比较,GitHub AE 会将 NameID 值规范化。 有关用户名规范化等的详细信息,请参阅“外部身份验证的用户名注意事项。“

如果实例上没有匹配的用户名,该实例将为用户创建一个新帐户。 如果实例上有用户名匹配的帐户,则用户登录到该帐户。

如果 GitHub AE 成功标识 IdP 中的用户,但帐户详细信息(如电子邮件地址、名字或姓氏)不匹配,则实例会使用 IdP 中的值更新详细信息。

支持的身份提供程序

以下 IdP 支持对 GitHub AE 使用 SCIM 进行用户预配。

注意:GitHub AE 单一登录 (SSO) 对 Okta 的支持目前处于 beta 版本。

IdPSAML用户预配团队映射
Azure Active Directory (Azure AD)
Okta试用版试用版试用版

对于支持团队映射的 IdP,可以将 GitHub AE 的应用程序分配给或取消分配给 IdP 中的用户组。 然后,这些组可供 your enterprise 中的组织所有者和团队维护员来映射到 GitHub AE 团队。 有关详细信息,请参阅“将 Okta 组映射到团队”。

先决条件

  • 初始化 GitHub AE 时,必须配置 SAML SSO。 有关详细信息,请参阅“初始化 GitHub AE”。
  • 您必须对 IdP 具有管理访问权限,才能配置应用程序进行 GitHub AE 的用户预配。

为企业启用用户预配

  1. 当以企业所有者身份登录到 your enterprise 时,需创建一个范围为 admin:enterprise 的 personal access token。 有关详细信息,请参阅“创建personal access token”。

    注释

    • 要创建 personal access token,建议使用初始化期间创建的第一个企业所有者的帐户。 有关详细信息,请参阅“初始化 GitHub AE”。
    • 在 IdP 上为 SCIM 配置应用程序时需要此 personal access token。 将令牌安全地存储在密码管理器中,直到您稍后在这些说明中再次需要该令牌。

    警告:如果创建 personal access token 的企业所有者的用户帐户已停用或取消预配,IdP 将不再自动为企业预配和取消预配用户帐户。 其他企业所有者必须创建新的 personal access token,并在 IdP 上重新配置预配。

    1. 在 GitHub AE 的右上角,单击你的个人资料照片,然后单击“企业设置”。 ![GitHub AE 上个人资料照片下拉菜单中的“企业设置”](/assets/images/enterprise/settings/enterprise-settings.png) 1. 在企业帐户侧边栏中,单击 “设置”。 ![企业帐户侧边栏中的“设置”选项卡](/assets/images/help/business-accounts/enterprise-account-settings-tab.png)
  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  3. 在“SCIM 用户预配”下,选择“需要 SCIM 用户预配”。 企业安全设置中的“需要 SCIM 用户预配”复选框

  4. 单击“ 保存”。 企业安全设置中“需要 SCIM 用户预配”下的“保存”按钮

  5. 在 IdP 上 GitHub AE 的应用程序中配置用户预配。 以下 IdP 提供有关为 GitHub AE 配置预配的文档。 如果您的 IdP 未列出,请与您的 IdP 联系,以请求 GitHub AE。

    IdP详细信息
    Azure ADMicrosoft Docs 中的教程:配置 GitHub AE 以实现自动用户预配。若要为 GitHub AE 配置 Azure AD,请参阅“使用 Azure AD 为企业配置身份验证和预配。”
    Okta(beta 版本) 若要为 GitHub AE 配置 Okta,请参阅“使用 Okta 为企业配置身份验证和预配。”

    IdP 上的应用程序需要两个值来预配或取消预配 your enterprise 上的用户帐户。

    其他名称说明示例
    URL租户 URLGitHub AE 上企业的 SCIM 预配 API 的 URLhttps://HOSTNAME/api/v3/scim/v2
    共享密钥Personal access token,机密令牌IdP 上的应用程序用于代表企业所有者执行预配任务的令牌在步骤 1 中创建的 Personal access token