Konfigurieren der SCIM-Bereitstellung für Enterprise Managed Users

Sie können den Lebenszyklus der Benutzerkonten Ihres Unternehmens in GitHub.com von Ihrem Identitätsanbieter (IdP) mithilfe von System for Cross-Domain Identity Management (SCIM) verwalten.

Wer kann dieses Feature verwenden?

Um Benutzer*innen im Unternehmen mit deinem Identitätsanbieter zu verwalten, muss dein Unternehmen für Enterprise Managed Users aktiviert sein. Dies ist in GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

In diesem Artikel

Informationen zur Bereitstellung für Enterprise Managed Users

Zum Erstellen, Verwalten und Deaktivieren von Benutzerkonten für Ihre Unternehmensmitglieder mit GitHub.com muss Ihr IdP SCIM für die Kommunikation mit GitHub implementieren. SCIM ist eine offene Spezifikation für die Verwaltung von Benutzeridentitäten zwischen Systemen. Verschiedene IdPs bieten unterschiedliche Erfahrungen für die Konfiguration der SCIM-Bereitstellung.

Nachdem Sie die Bereitstellung für Enterprise Managed Users eingestellt haben, verwendet Ihr IdP SCIM um Benutzerkonten in GitHub.com bereitzustellen und fügt die Konten zu Ihrem Unternehmen hinzu. Wenn Sie der Anwendung eine Gruppe zuweisen, wird Ihr IdP neue verwaltete Benutzerkonten für alle Mitglieder der Gruppe bereitgestellt.

Wenn Sie einen Partner-IdP verwenden, können Sie die Konfiguration der SCIM-Bereitstellung mithilfe der Anwendung des Partner-IdP vereinfachen. Wenn Sie keinen Partner-IdP für die Bereitstellung verwenden, können Sie SCIM mithilfe von Aufrufen von REST-API für SCIM von GitHub implementieren, die sich in der Betaversion befindet und Änderungen unterliegt. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

SCIM verwaltet den Lebenszyklus von Benutzerkonten in Ihrem Unternehmen. Wenn du die Informationen aktualisierst, die der Identität eines Benutzers auf deinem IdP zugeordnet sind, aktualisiert dein IdP das Konto des Benutzers auf GitHub.com. Wenn du die Zuweisung eines Benutzers von der IdP-Anwendung zur Enterprise Managed Users aufheben oder ein Benutzerkonto bei Ihrem Identitätsanbieter deaktivieren, kommuniziert Ihr Identitätsanbieter mit GitHub, sodass alle Sitzungen ungültig gemacht werden und das Konto des Mitglieds deaktiviert wird. Die Informationen des deaktivierten Kontos werden gespeichert und der Benutzername wird in einen Hash des ursprünglichen Benutzernamens geändert, wobei der Kurzcode angefügt wurde. Wenn Sie einen Benutzer zur IdP-Anwendung für Enterprise Managed Users neu zuweisen oder sein Konto bei Ihrem IdP reaktivieren, wird das verwaltetes Benutzerkonto auf GitHub reaktiviert und der Benutzername wiederhergestellt.

Zum Konfigurieren der Team- und Organisationsmitgliedschaft, des Repository-Zugriffs und der Berechtigungen für GitHub Enterprise Cloud können Sie Gruppen auf Ihrem IdP verwenden. Weitere Informationen findest du unter Verwalten von Teammitgliedschaften mit Identitätsanbietergruppen.

Voraussetzungen

  • Bevor Sie die Bereitstellung konfigurieren, müssen Sie die Authentifizierung für Ihre Benutzer konfigurieren. Für diese Konfiguration ist sowohl das Identitätsverwaltungssystem als auch die GitHub Enterprise Cloud eingerichtet. Weitere Informationen findest du unter Konfigurieren der Authentifizierung für durch Enterprise verwaltete Benutzer.
  • Stellen Sie vor der Konfiguration der Bereitstellung sicher, dass Sie die Integrationsanforderungen und die Unterstützungsebene für Ihren IdP verstehen. Weitere Informationen finden Sie unter „Informationen zu Enterprise Managed Users“.

Erstellen eines personal access token

Du benötigst ein personal access token (classic) mit dem Bereich admin:enterprise, das zum Setupbenutzer gehört, um die Bereitstellung für Unternehmen mit verwalteten Benutzer*innen zu konfigurieren.

Warnung: Wenn das Token abläuft oder ein bereitgestellter Benutzer das Token erstellt, funktioniert die Bereitstellung mit SCIM möglicherweise unerwartet nicht mehr. Stelle sicher, dass du das Token erstellst, während du als Setupbenutzer angemeldet bist, und dass das Ablaufdatum des Tokens auf „Kein Ablauf“ festgelegt ist.

  1. Melde dich auf GitHub.com als Setupbenutzer für dein neues Unternehmen mit dem Namen @KURZCODE_admin an.

  2. Klicke auf einer beliebigen Seite in der oberen rechten Ecke auf dein Profilfoto und anschließend auf Einstellungen.

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  3. Klicke auf der linken Seitenleiste auf Entwicklereinstellungen.

  4. Klicke auf der linken Randleiste auf Personal access token .

  5. Klicken Sie auf Neues Token generieren.

  6. Gib dem Token unter Hinweis einen aussagekräftigen Namen.

  7. Wähle das Dropdownmenü Ablaufdatum aus, und klicke dann auf Kein Ablauf.

  8. Wähle den Bereich admin:enterprise aus.

    Screenshot: Liste der Bereiche mit Kontrollkästchen. Der Bereich „admin:enterprise“ zusammen mit dem Text „Vollständige Kontrolle über Unternehmen“ ist ausgewählt und orangefarbenen umrandet.

  9. Klicke dann auf Token generieren.

  10. Du kannst auf klicken, um das neue Token in die Zwischenablage zu kopieren.

    Screenshot: Seite „Personal access tokens“. Neben einem verschwommenen Token ist ein Symbol mit zwei überlappenden Quadraten orange umrandet.

  11. Speichere das neue Token sicher in einem Kennwort-Manager, um es später verwenden zu können.

Konfigurieren der Bereitstellung für Enterprise Managed Users

Nachdem Sie Ihr personal access token erstellt und sicher gespeichert haben, können Sie die Bereitstellung bei Ihrem IdP konfigurieren. Die Anweisungen, die Sie befolgen sollten, unterscheiden sich je nachdem, ob Sie die Anwendung eines Partner-IdP für die Authentifizierung und Bereitstellung verwenden.

Konfigurieren der Bereitstellung, wenn Sie die Anwendung eines Partner-IdP verwenden

Wenn Sie die Anwendung eines Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden möchten, lesen Sie die Anweisungen des Partners zum Konfigurieren der Bereitstellung in den Links in der folgenden Tabelle.

IdPSSO-MethodeWeitere Informationen
Microsoft Entra ID (früher bekannt als Azure AD)OIDCTutorial: Tutorial: Konfigurieren von GitHub Enterprise Managed User (OIDC) für die automatische Benutzerbereitstellung auf Microsoft Learn
Entra IDSAMLTutorial: Konfigurieren von GitHub Enterprise Managed User für die automatische Benutzerbereitstellung auf Microsoft Learn
OktaSAMLKonfigurieren der Einstellungen für die SCIM-Bereitstellung mit Okta
PingFederateSAMLKonfigurieren von PingFederate für Bereitstellung und SSO und Verwaltung von Kanälen in der PingFederate-Dokumentation

Wenn Sie die Authentifizierung für einen Partner-IDP konfiguriert haben, aber Sie Benutzer von einem anderen Identitätsverwaltungssystem bereitstellen möchten, können Sie Ihren IdP Aufrufe an den REST-API-Endpunkte für SCIM-Bereitstellung von GitHub durchführen.

Konfigurieren der Bereitstellung für andere Identitätsverwaltungssysteme

Wenn Sie keinen Partner-IdP verwenden oder nur einen Partner-IdP für die Authentifizierung verwenden, können Sie den Lebenszyklus von Benutzerkonten mithilfe von GitHub REST-API-Endpunkte für die SCIM-Bereitstellung verwalten. Diese Endpunkte sind als Betaversion verfügbar und unterliegen Änderungen. Weitere Informationen findest du unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

  1. Melde dich auf GitHub.com als Setupbenutzer*in für dein Unternehmen mit dem Benutzernamen @SHORT-CODE_admin an. Ersetze SHORT-CODE dabei durch den Kurzcode deines Unternehmens.

    Hinweis: Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Supportportal an den GitHub-Support.

  2. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

  3. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  4. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  5. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  6. Wählen Sie unter „Open SCIM Configuration“ die Option „Enable open SCIM Configuration“ aus.

  7. Verwalten Sie den Lebenszyklus Ihrer Benutzer, indem Sie Aufrufe an die REST-API-Endpunkte für die SCIM-Bereitstellung tätigen. Weitere Informationen findest du unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Zuweisen von Benutzern und Gruppen

Nachdem du die Authentifizierung und Bereitstellung konfiguriert hast, kannst du neue Benutzer auf GitHub.com bereitstellen, indem du der Anwendung GitHub Enterprise Managed User Benutzer oder Gruppen zuweist.

Beim Zuweisen von Benutzern kannst du das Attribut „Rollen“ in der Anwendung GitHub Enterprise Managed User verwenden, um die Rolle eines Benutzers im Unternehmen in GitHub Enterprise Cloud festzulegen. Weitere Informationen zu den Rollen, die zugewiesen werden können, findest du unter Rollen in einem Unternehmen.

Entra ID unterstützt die Bereitstellung geschachtelter Gruppen nicht. Weitere Informationen finden Sie unter Funktionsweise der Anwendungsbereitstellung in Microsoft Entra ID auf Microsoft Learn.