Informationen zu SCIM für Organisationen
Wenn deine Organisation SAML SSO verwendet, kannst du SCIM implementieren, um den Zugriff von Organisationsmitgliedern auf GitHub Enterprise Cloud zu gewähren, zu verwalten und zu entziehen. Ein Administrator kann beispielsweise die Bereitstellung des Zugriffs eines Organisationsmitglieds mithilfe von SCIM aufheben und das Mitglied automatisch aus der Organisation entfernen.
Hinweis: Für die Verwendung von SAML Single Sign-On muss deine Organisation GitHub Enterprise Cloud verwenden. Weitere Informationen zum kostenlosen Testen von GitHub Enterprise Cloud findest du unter Eine Testversion von GitHub Enterprise Cloud einrichten.
Du kannst diese Implementierung von SCIM nicht mit einem Unternehmenskonto oder mit einer Organisation mit verwalteten Benutzer*innen verwenden. Wenn dein Unternehmen für Enterprise Managed Users aktiviert ist, musst du eine andere Implementierung von SCIM verwenden. Andernfalls ist SCIM auf Unternehmensebene nicht verfügbar. Weitere Informationen findest du unter Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer.
Wenn du SAML-SSO verwendest, ohne SCIM zu implementieren, erfolgt keine automatische Aufhebung der Bereitstellung. Wenn die Sitzungen von Organisationsmitgliedern ablaufen, nachdem ihr Zugriff aus dem IdP entfernt wurde, werden sie nicht automatisch aus der Organisation entfernt. Autorisierte Token gewähren der Organisation auch nach Ablauf ihrer Sitzungen Zugriff. Wenn SCIM nicht verwendet wird, muss der bzw. die Organisationsbesitzer*in den Zugriff eines Mitglieds beim IdP entziehen und das Mitglied in GitHub aus der Organisation entfernen, um dessen Zugriff vollständig zu entziehen.
Wenn SCIM-Bereitstellung für deine Organisation implementiert ist, sollten alle Änderungen an der Organisationsmitgliedschaft eines Benutzers vom Identitätsanbieter ausgelöst werden. Wenn ein Benutzer manuell anstelle einer vorhandenen SCIM-Integration zu einer Organisation eingeladen wird, wird sein Benutzerkonto möglicherweise nicht ordnungsgemäß mit seiner SCIM-Identität verknüpft. Dadurch kann verhindert werden, dass das Benutzerkonto in Zukunft über SCIM nicht mehr bereitgestellt werden kann. Wenn ein Benutzer manuell anstelle einer vorhandenen SCIM-Integration entfernt wird, bleibt eine veraltete verknüpfte Identität erhalten, was zu Problemen führen kann, wenn der Benutzer erneut an der Organisation teilnehmen muss.
Unterstützte Identitätsanbieter
Die folgenden Identitätsanbieter (IdPs) sind mit der SCIM-API von GitHub Enterprise Cloud für Organisationen kompatibel. Weitere Informationen findest du unter REST-API-Endpunkte für SCIM.
- Microsoft Entra ID (früher Azure AD)
- Okta
- OneLogin
Informationen zur SCIM-Konfiguration für Organisationen
Du musst eine OAuth app von einem Drittanbieter verwenden, um SCIM in deiner Organisation zu verwenden. Die OAuth app muss von einem bestimmten GitHub-Benutzer autorisiert worden sein und agiert anschließend in dessen Namen. Wenn der bzw. die Benutzer*in, der oder die die OAuth app zuletzt autorisiert hat, die Organisation verlässt oder aus dieser entfernt wird, funktioniert SCIM nicht mehr. Es wird empfohlen, ein dediziertes Benutzerkonto für die SCIM-Konfiguration zu erstellen, um dieses Problem zu vermeiden. Dieses Benutzerkonto muss ein Organisationsbesitzer sein und benötigt eine Lizenz.
Bevor du OAuth app autorisierst, muss eine aktive SAML-Sitzung vorhanden sein. Weitere Informationen findest du unter Informationen zur Authentifizierung mit SAML Single Sign-On.
Note
Der SAML-IdP und der SCIM-Client müssen für jeden Benutzer übereinstimmende NameID
- und userName
-Werte verwenden. Hierbei kann ein Benutzer, der sich über SAML authentifiziert, mit seiner bereitgestellten SCIM-Identität verknüpft werden.