Skip to main content
Die REST-API verfügt jetzt über eine Versionskontrolle. Weitere Informationen findest du unter Informationen zur API-Versionsverwaltung.

REST-API-Endpunkte für SCIM

Verwende die REST-API, um den Zugriff der GitHub-Organisationsmitglieder mit SCIM zu steuern und zu verwalten.

Hinweis

Mit diesem Vorgang kannst du mithilfe von SCIM Zugriff auf eine Organisation über GitHub Enterprise Cloud bereitstellen. Der Vorgang ist für die Verwendung mit Enterprise Managed Users nicht verfügbar. Weitere Informationen zur Bereitstellung von verwaltete Benutzerkonten mithilfe von SCIM findest du unter REST-API-Endpunkte für SCIM.

Informationen zu SCIM

Bereitstellen von SCIM für Organisationen

Diese Endpunkte werden von SCIM-fähigen Identitätsanbietern (Identity Provider, IdP) dazu verwendet, die Bereitstellung der GitHub-Organisationsmitgliedschaft zu automatisieren, und basieren auf Version 2.0 des SCIM-Standards. Identitätsanbieter müssen die Basis-URL https://api.github.com/scim/v2/organizations/{org}/ für GitHub-SCIM-Endpunkte verwenden.

Hinweis

  • Diese Endpunkte sind nur für einzelne Organisationen verfügbar, die GitHub Enterprise Cloud mit aktiviertem einmaligem SAML-Anmelden verwenden. Weitere Informationen zu SCIM findest du unter Informationen zu SCIM für Organisationen. Weitere Informationen zum Autorisieren eines Tokens für eine SAML SSO-Organisation findest du unter Authentifizieren bei der REST-API.
  • Diese Endpunkte können nicht mit einem Unternehmenskonto oder mit einer Organisation mit verwalteten Benutzer*innen verwendet werden.

Authentifizierung

Du musst dich als Besitzer einer Organisation von GitHub authentifizieren, um diese Endpunkte zu verwenden. Die REST-API erwartet, dass ein OAuth 2.0-Bearertoken (z. B. ein GitHub App-Benutzerzugriffstoken) in den Authorization-Header eingeschlossen wird. Wenn du ein personal access token (classic) für die Authentifizierung verwendest, muss das Token über den Bereich admin:org verfügen, und du musst es auch für die Verwendung mit deiner SAML-SSO-Organisation autorisieren.

Abgleich von SAML- und SCIM-Attributen

Um ein GitHub-Benutzerkonto in einer Organisation erfolgreich mit einer SCIM-Identität zu verknüpfen, müssen bestimmte Attribute aus der SAML-Antwort deines Identitätsanbieters und dem Bereitstellungsaufruf der SCIM-API für Benutzende übereinstimmen.

Microsoft Entra ID für SAML

Bei Verwendung von Entra ID (zuvor als Azure AD bezeichnet) für SAML muss die folgenden SAML- und SCIM-Attribute übereinstimmen.

SAML-AttributAbgleich des SCIM-Attributs
http://schemas.microsoft.com/identity/claims/objectidentifierexternalId

Andere IdPs für SAML

Bei Verwendung anderer Identitätsanbieter für SAML müssen die folgenden SAML-Ansprüche und das SCIM-Attribut übereinstimmen.

SAML-AttributAbgleich des SCIM-Attributs
NameIDuserName

Ein GitHub-Benutzerkonto kann in einer Organisation auf zwei Arten mit einer SCIM-Identität verknüpft werden kann, wenn diese SAML- bzw. SCIM-Attribute übereinstimmen:

  1. Für Benutzende, die noch keine Mitglieder der Organisation sind:

    • Der Identitätsanbieter sendet einen SCIM-Bereitstellungsaufruf an GitHub für Benutzende, die keine Mitglieder einer Organisation sind. Dadurch werden eine Organisationseinladung und eine nicht verknüpfte SCIM-Identität in der Organisation generiert.
    • Die Benutzenden authentifizieren sich in der Organisation über SAML.
    • GitHub verknüpft die SAML- und SCIM-Identität automatisch mit dem neuen Benutzerkonto in der Organisation.
  2. Für vorhandene Organisationsmitglieder:

    • Der Identitätsanbieter sendet einen SCIM-Bereitstellungsaufruf an GitHub für Benutzende, die bereits Mitglieder einer Organisation sind.
    • Wenn das Organisationsmitglied in der Organisation über keine verknüpfte SAML-Identität verfügt, werden eine Organisationseinladung und eine nicht verknüpfte SCIM-Identität in der Organisation generiert. Benutzende authentifizieren sich in der Organisation über SAML, um ihre SAML- und SCIM-Identitäten zu verknüpfen.
    • Wenn das Organisationsmitglied über eine verknüpfte SAML-Identität in der Organisation verfügt, wird die SCIM-Identität durch GitHub automatisch mit dem vorhandenen Benutzerkonto in der Organisation verknüpft. Es wird keine Organisationseinladung erstellt.

Stelle sicher, dass Benutzende in der Organisation ordnungsgemäß mit ihrer SCIM-Identität verknüpft werden, um unerwartete Probleme bei der SCIM-Bereitstellung zu verhindern, wenn der Zugriff der Benutzenden auf die App aufseiten des Identitätsanbieters entfernt wird. Weitere Informationen zum Überwachen der verknüpften SCIM-Identitäten in einer Organisation findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deiner Organisation.

Unterstützte SCIM-Benutzerattribute

NameTypBESCHREIBUNG
userNamestringDer Benutzername für den oder die Benutzer*in
name.givenNamestringDer Vorname des Benutzers.
name.familyNamestringDer Nachname des Benutzers.
emailsarrayListe der Benutzer-E-Mails
externalIdstringDieser Bezeichner wird vom SAML-Anbieter generiert und als eindeutige ID verwendet, um ihn einem oder einer GitHub-Benutzerin zuzuordnen. Du findest die externalID für Benutzerinnen entweder beim SAML-Anbieter oder indem du den Endpunkt von Auflisten durch SCIM bereitgestellter Identitäten verwendest und nach anderen bekannten Attributen filterst, z. B. nach dem GitHub-Benutzernamen oder der E-Mail-Adresse.
idstringBezeichner, der vom GitHub-SCIM-Endpunkt generiert wurde
activebooleanGibt an, ob die Identität aktiv (true) ist oder die Bereitstellung aufgehoben werden soll (false)

Hinweis

Bei diesen Endpunkten wird die Groß-/Kleinschreibung beachtet. Beispielsweise muss der erste Buchstabe des Users-Endpunkts großgeschrieben werden:

GET /scim/v2/organizations/{org}/Users/{scim_user_id}

List SCIM provisioned identities

Retrieves a paginated list of all provisioned organization members, including pending invitations. If you provide the filter parameter, the resources for all matching provisions members are returned.

The returned list of SCIM provisioned identities from the GitHub Enterprise Cloud might not always match the organization or enterprise member list. Here is why that can occur:

  • When an organization invitation is generated by a SCIM integration, this creates an unlinked SCIM identity in the organization. When a user logs into their GitHub user account, visits the organization, and successfully authenticates via SAML, they get added as an organization member and linked to their SAML/SCIM identity in the organization. If the user does not do this, the SCIM identity will remain in the organization, not linked to any organization member.
  • A user's organization membership (inviting and removing a user to/from the organization) should only be managed by a SCIM integration when this is configured for a GitHub organization. If a GitHub user who has a linked SCIM identity is removed from the organization using the GitHub UI or non-SCIM API, as opposed to the SCIM integration, this can leave behind a stale SAML/SCIM identity in the organization for the user.

Differenzierte Zugriffstoken für "List SCIM provisioned identities"

Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:

Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:

  • "Members" organization permissions (read)

Parameter für „List SCIM provisioned identities“

Header
Name, type, BESCHREIBUNG
accept string

Setting to application/vnd.github+json is recommended.

Pfadparameter
Name, type, BESCHREIBUNG
org string Erforderlich

The organization name. The name is not case sensitive.

Abfrageparameter
Name, type, BESCHREIBUNG
startIndex integer

Used for pagination: the index of the first result to return.

count integer

Used for pagination: the number of results to return.

filter string

Filters results using the equals query parameter operator (eq). You can filter results that are equal to id, userName, emails, and externalId. For example, to search for an identity with the userName Octocat, you would use this query:

?filter=userName%20eq%20\"Octocat\".

To filter results for the identity with the email octocat@github.com, you would use this query:

?filter=emails%20eq%20\"octocat@github.com\".

HTTP-Antwortstatuscodes für „List SCIM provisioned identities“

StatuscodeBESCHREIBUNG
200

OK

304

Not modified

400

Bad request

403

Forbidden

404

Resource not found

429

Too many requests

Codebeispiele für „List SCIM provisioned identities“

Wenn du unter GHE.com auf GitHub zugreifst, ersetze api.github.com unter api.SUBDOMAIN.ghe.com mit der dedizierten Unterdomäne deines Unternehmens.

Beispiele für Anforderungen

get/scim/v2/organizations/{org}/Users
curl -L \ -H "Accept: application/scim+json" \ -H "Authorization: Bearer <YOUR-TOKEN>" \ -H "X-GitHub-Api-Version: 2022-11-28" \ https://api.github.com/scim/v2/organizations/ORG/Users

Response with filter

Status: 200
{ "schemas": [ "urn:ietf:params:scim:api:messages:2.0:ListResponse" ], "totalResults": 1, "itemsPerPage": 1, "startIndex": 1, "Resources": [ { "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "id": "5fc0c238-1112-11e8-8e45-920c87bdbd75", "externalId": "00u1dhhb1fkIGP7RL1d8", "userName": "octocat@github.com", "displayName": "Mona Octocat", "name": { "givenName": "Mona", "familyName": "Octocat", "formatted": "Mona Octocat" }, "emails": [ { "value": "octocat@github.com", "primary": true } ], "active": true, "meta": { "resourceType": "User", "created": "2018-02-13T15:05:24.000-08:00", "lastModified": "2018-02-13T15:05:55.000-08:00", "location": "https://api.github.com/scim/v2/organizations/octo-org/Users/5fc0c238-1112-11e8-8e45-920c87bdbd75" } } ] }

Provision and invite a SCIM user

Provisions organization membership for a user, and sends an activation email to the email address. If the user was previously a member of the organization, the invitation will reinstate any former privileges that the user had. For more information about reinstating former members, see "Reinstating a former member of your organization."

Differenzierte Zugriffstoken für "Provision and invite a SCIM user"

Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:

Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:

  • "Members" organization permissions (write)

Parameter für „Provision and invite a SCIM user“

Header
Name, type, BESCHREIBUNG
accept string

Setting to application/vnd.github+json is recommended.

Pfadparameter
Name, type, BESCHREIBUNG
org string Erforderlich

The organization name. The name is not case sensitive.

Textparameter
Name, type, BESCHREIBUNG
userName string Erforderlich

Configured by the admin. Could be an email, login, or username

displayName string

The name of the user, suitable for display to end-users

name object Erforderlich
Name, type, BESCHREIBUNG
givenName string Erforderlich
familyName string Erforderlich
formatted string
emails array of objects Erforderlich

user emails

Name, type, BESCHREIBUNG
value string Erforderlich
primary boolean
type string
schemas array of strings
externalId string
groups array of strings
active boolean

HTTP-Antwortstatuscodes für „Provision and invite a SCIM user“

StatuscodeBESCHREIBUNG
201

Created

304

Not modified

400

Bad request

403

Forbidden

404

Resource not found

409

Conflict

500

Internal server error

Codebeispiele für „Provision and invite a SCIM user“

Wenn du unter GHE.com auf GitHub zugreifst, ersetze api.github.com unter api.SUBDOMAIN.ghe.com mit der dedizierten Unterdomäne deines Unternehmens.

Anforderungsbeispiel

post/scim/v2/organizations/{org}/Users
curl -L \ -X POST \ -H "Accept: application/scim+json" \ -H "Authorization: Bearer <YOUR-TOKEN>" \ -H "X-GitHub-Api-Version: 2022-11-28" \ https://api.github.com/scim/v2/organizations/ORG/Users \ -d '{"userName":"mona.octocat@okta.example.com","externalId":"a7d0f98382","name":{"givenName":"Monalisa","familyName":"Octocat","formatted":"Monalisa Octocat"},"emails":[{"value":"mona.octocat@okta.example.com","primary":true},{"value":"monalisa@octocat.github.com"}]}'

Response

Status: 201
{ "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "id": "edefdfedf-050c-11e7-8d32", "externalId": "a7d0f98382", "userName": "mona.octocat@okta.example.com", "displayName": "Monalisa Octocat", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true }, { "value": "monalisa@octocat.github.com" } ], "active": true, "meta": { "resourceType": "User", "created": "2017-03-09T16:11:13-05:00", "lastModified": "2017-03-09T16:11:13-05:00", "location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32" } }

Get SCIM provisioning information for a user

Gets SCIM provisioning information for a user.

Differenzierte Zugriffstoken für "Get SCIM provisioning information for a user"

Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:

Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:

  • "Members" organization permissions (read)

Parameter für „Get SCIM provisioning information for a user“

Header
Name, type, BESCHREIBUNG
accept string

Setting to application/vnd.github+json is recommended.

Pfadparameter
Name, type, BESCHREIBUNG
org string Erforderlich

The organization name. The name is not case sensitive.

scim_user_id string Erforderlich

The unique identifier of the SCIM user.

HTTP-Antwortstatuscodes für „Get SCIM provisioning information for a user“

StatuscodeBESCHREIBUNG
200

OK

304

Not modified

403

Forbidden

404

Resource not found

Codebeispiele für „Get SCIM provisioning information for a user“

Wenn du unter GHE.com auf GitHub zugreifst, ersetze api.github.com unter api.SUBDOMAIN.ghe.com mit der dedizierten Unterdomäne deines Unternehmens.

Anforderungsbeispiel

get/scim/v2/organizations/{org}/Users/{scim_user_id}
curl -L \ -H "Accept: application/scim+json" \ -H "Authorization: Bearer <YOUR-TOKEN>" \ -H "X-GitHub-Api-Version: 2022-11-28" \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID

Response

Status: 200
{ "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "id": "edefdfedf-050c-11e7-8d32", "externalId": "a7d0f98382", "userName": "mona.octocat@okta.example.com", "displayName": "Monalisa Octocat", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true }, { "value": "monalisa@octocat.github.com" } ], "active": true, "meta": { "resourceType": "User", "created": "2017-03-09T16:11:13-05:00", "lastModified": "2017-03-09T16:11:13-05:00", "location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32" } }

Update a provisioned organization membership

Replaces an existing provisioned user's information. You must provide all the information required for the user as if you were provisioning them for the first time. Any existing user information that you don't provide will be removed. If you want to only update a specific attribute, use the Update an attribute for a SCIM user endpoint instead.

You must at least provide the required values for the user: userName, name, and emails.

Warning

Setting active: false removes the user from the organization, deletes the external identity, and deletes the associated {scim_user_id}.

Differenzierte Zugriffstoken für "Update a provisioned organization membership"

Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:

Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:

  • "Members" organization permissions (write)

Parameter für „Update a provisioned organization membership“

Header
Name, type, BESCHREIBUNG
accept string

Setting to application/vnd.github+json is recommended.

Pfadparameter
Name, type, BESCHREIBUNG
org string Erforderlich

The organization name. The name is not case sensitive.

scim_user_id string Erforderlich

The unique identifier of the SCIM user.

Textparameter
Name, type, BESCHREIBUNG
schemas array of strings
displayName string

The name of the user, suitable for display to end-users

externalId string
groups array of strings
active boolean
userName string Erforderlich

Configured by the admin. Could be an email, login, or username

name object Erforderlich
Name, type, BESCHREIBUNG
givenName string Erforderlich
familyName string Erforderlich
formatted string
emails array of objects Erforderlich

user emails

Name, type, BESCHREIBUNG
type string
value string Erforderlich
primary boolean

HTTP-Antwortstatuscodes für „Update a provisioned organization membership“

StatuscodeBESCHREIBUNG
200

OK

304

Not modified

403

Forbidden

404

Resource not found

Codebeispiele für „Update a provisioned organization membership“

Wenn du unter GHE.com auf GitHub zugreifst, ersetze api.github.com unter api.SUBDOMAIN.ghe.com mit der dedizierten Unterdomäne deines Unternehmens.

Anforderungsbeispiel

put/scim/v2/organizations/{org}/Users/{scim_user_id}
curl -L \ -X PUT \ -H "Accept: application/scim+json" \ -H "Authorization: Bearer <YOUR-TOKEN>" \ -H "X-GitHub-Api-Version: 2022-11-28" \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \ -d '{"userName":"mona.octocat@okta.example.com","externalId":"a7d0f98382","name":{"givenName":"Monalisa","familyName":"Octocat","formatted":"Monalisa Octocat"},"emails":[{"value":"mona.octocat@okta.example.com","primary":true}]}'

Response

Status: 200
{ "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "id": "edefdfedf-050c-11e7-8d32", "externalId": "a7d0f98382", "userName": "mona.octocat@okta.example.com", "displayName": "Monalisa Octocat", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true }, { "value": "monalisa@octocat.github.com" } ], "active": true, "meta": { "resourceType": "User", "created": "2017-03-09T16:11:13-05:00", "lastModified": "2017-03-09T16:11:13-05:00", "location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32" } }

Update an attribute for a SCIM user

Allows you to change a provisioned user's individual attributes. To change a user's values, you must provide a specific Operations JSON format that contains at least one of the add, remove, or replace operations. For examples and more information on the SCIM operations format, see the SCIM specification.

Note

Complicated SCIM path selectors that include filters are not supported. For example, a path selector defined as "path": "emails[type eq \"work\"]" will not work.

Warning

If you set active:false using the replace operation (as shown in the JSON example below), it removes the user from the organization, deletes the external identity, and deletes the associated :scim_user_id.

{
  "Operations":[{
    "op":"replace",
    "value":{
      "active":false
    }
  }]
}

Differenzierte Zugriffstoken für "Update an attribute for a SCIM user"

Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:

Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:

  • "Members" organization permissions (write)

Parameter für „Update an attribute for a SCIM user“

Header
Name, type, BESCHREIBUNG
accept string

Setting to application/vnd.github+json is recommended.

Pfadparameter
Name, type, BESCHREIBUNG
org string Erforderlich

The organization name. The name is not case sensitive.

scim_user_id string Erforderlich

The unique identifier of the SCIM user.

Textparameter
Name, type, BESCHREIBUNG
schemas array of strings
Operations array of objects Erforderlich

Set of operations to be performed

Name, type, BESCHREIBUNG
op string Erforderlich

Kann eine der Folgenden sein: add, remove, replace

path string
value object or array or string

HTTP-Antwortstatuscodes für „Update an attribute for a SCIM user“

StatuscodeBESCHREIBUNG
200

OK

304

Not modified

400

Bad request

403

Forbidden

404

Resource not found

429

Too Many Requests

Codebeispiele für „Update an attribute for a SCIM user“

Wenn du unter GHE.com auf GitHub zugreifst, ersetze api.github.com unter api.SUBDOMAIN.ghe.com mit der dedizierten Unterdomäne deines Unternehmens.

Anforderungsbeispiel

patch/scim/v2/organizations/{org}/Users/{scim_user_id}
curl -L \ -X PATCH \ -H "Accept: application/scim+json" \ -H "Authorization: Bearer <YOUR-TOKEN>" \ -H "X-GitHub-Api-Version: 2022-11-28" \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \ -d '{"Operations":[{"op":"replace","value":{"displayName":"Octocat"}}]}'

Response

Status: 200
{ "schemas": [ "urn:ietf:params:scim:schemas:core:2.0:User" ], "id": "edefdfedf-050c-11e7-8d32", "externalId": "a7d0f98382", "userName": "mona.octocat@okta.example.com", "displayName": "Monalisa Octocat", "name": { "givenName": "Monalisa", "familyName": "Octocat", "formatted": "Monalisa Octocat" }, "emails": [ { "value": "mona.octocat@okta.example.com", "primary": true }, { "value": "monalisa@octocat.github.com" } ], "active": true, "meta": { "resourceType": "User", "created": "2017-03-09T16:11:13-05:00", "lastModified": "2017-03-09T16:11:13-05:00", "location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32" } }

Delete a SCIM user from an organization

Deletes a SCIM user from an organization.

Differenzierte Zugriffstoken für "Delete a SCIM user from an organization"

Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:

Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:

  • "Members" organization permissions (write)

Parameter für „Delete a SCIM user from an organization“

Header
Name, type, BESCHREIBUNG
accept string

Setting to application/vnd.github+json is recommended.

Pfadparameter
Name, type, BESCHREIBUNG
org string Erforderlich

The organization name. The name is not case sensitive.

scim_user_id string Erforderlich

The unique identifier of the SCIM user.

HTTP-Antwortstatuscodes für „Delete a SCIM user from an organization“

StatuscodeBESCHREIBUNG
204

No Content

304

Not modified

403

Forbidden

404

Resource not found

Codebeispiele für „Delete a SCIM user from an organization“

Wenn du unter GHE.com auf GitHub zugreifst, ersetze api.github.com unter api.SUBDOMAIN.ghe.com mit der dedizierten Unterdomäne deines Unternehmens.

Anforderungsbeispiel

delete/scim/v2/organizations/{org}/Users/{scim_user_id}
curl -L \ -X DELETE \ -H "Accept: application/vnd.github+json" \ -H "Authorization: Bearer <YOUR-TOKEN>" \ -H "X-GitHub-Api-Version: 2022-11-28" \ https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID

Response

Status: 204