Skip to main content

关于组织的 SCIM

通过“跨域身份管理系统”(System for Cross-domain Identity Management, SCIM),管理员可以在系统之间自动交换用户身份信息。

关于组织的 SCIM

如果组织使用 SAML SSO,则可以实现 SCIM 以添加、管理和删除组织成员对 GitHub Enterprise Cloud 的访问权限。 例如,管理员可以使用 SCIM 撤销配置组织成员,以及从组织中自动删除成员。

注意:若要使用 SAML 单一登录,你的组织必须使用 GitHub Enterprise Cloud。 有关如何免费试用 GitHub Enterprise Cloud 的详细信息,请参阅“设置 GitHub Enterprise Cloud 的试用版”。

不能将此 SCIM 的实现与企业帐户或 具有托管用户的组织 一起使用。 如果为企业启用 Enterprise Managed Users,则必须使用不同的 SCIM 实现。 否则,SCIM 在企业级别不可用。 有关详细信息,请参阅“为 Enterprise Managed User 配置 SCIM 预配”。

如果在未实现 SCIM 的情况下使用 SAML SSO,则不会进行自动撤销操作。 如果组织成员的会话在其访问权限从 IdP 中删除后过期,他们不会自动从组织中删除。 即使在会话过期后,授权令牌也会授予对组织的访问权限。 如果不使用 SCIM,若要完全删除某个成员的访问权限,则组织所有者必须删除该成员在 IdP 中的访问权限,并在 GitHub 上从组织中手动删除该成员。

如果为组织实现了 SCIM 配置,则应从标识提供者触发对用户组织成员身份的任何更改。 如果用户手动而不是通过现有的 SCIM 集成被邀请到组织,他们的用户帐户可能无法正确链接到其 SCIM 标识。 这可以防止将来通过 SCIM 取消配置用户帐户。 如果手动删除用户而不是通过现有 SCIM 集成删除,则将保留陈旧的链接身份,如果用户需要重新加入组织,这可能会导致问题。

支持的身份提供程序

这些标识提供者 (IdP) 与组织的 GitHub Enterprise Cloud SCIM API 兼容。 有关详细信息,请参阅“SCIM 的 REST API 端点”。

  • Microsoft Entra ID(以前称为 Azure AD)
  • Okta
  • OneLogin

关于组织的 SCIM 配置

若要将 SCIM 用于你的组织,必须使用第三方拥有的 OAuth app。 OAuth app 必须由特定 GitHub 用户授权,然后代表该用户执行操作。 如果上次授权此 OAuth app 的用户离开或者被从组织中移除,SCIM 将停止工作。 为避免此问题,我们建议创建一个专用用户帐户来配置 SCIM。 此用户帐户必须是组织所有者,并且将使用许可证。

在授权 OAuth app 之前,必须有一个活动的 SAML 会话。 有关详细信息,请参阅“关于使用 SAML 单点登录进行身份验证”。

注意:SAML IdP 和 SCIM 客户端必须为每个用户使用匹配的 NameIDuserName 值。 这允许通过 SAML 进行身份验证的用户链接到其预配的 SCIM 标识。

延伸阅读