REST-API-Endpunkte für SCIM
Verwende die REST-API, um den Zugriff der GitHub-Organisationsmitglieder mit SCIM zu steuern und zu verwalten.
Hinweis: Mit diesem Vorgang können Sie den Zugriff auf eine Organisation über GitHub Enterprise Cloud mithilfe von SCIM bereitstellen. Der Vorgang ist für die Verwendung mit Enterprise Managed Users nicht verfügbar. Weitere Informationen zur Bereitstellung von verwaltete Benutzerkonten mithilfe von SCIM finden Sie unter REST-API-Endpunkte für SCIM.
Informationen zu SCIM
Bereitstellen von SCIM für Organisationen
Diese Endpunkte werden von SCIM-fähigen Identitätsanbietern (Identity Provider, IdP) dazu verwendet, die Bereitstellung der GitHub Enterprise Cloud-Organisationsmitgliedschaft zu automatisieren, und basieren auf Version 2.0 des SCIM-Standards. Identitätsanbieter müssen die Basis-URL https://api.github.com/scim/v2/organizations/{org}/
für GitHub Enterprise Cloud-SCIM-Endpunkte verwenden.
Hinweise:
- Diese Endpunkte sind nur für einzelne Organisationen verfügbar, die GitHub Enterprise Cloud mit aktiviertem einmaligem SAML-Anmelden verwenden. Weitere Informationen zu SCIM findest du unter Informationen zu SCIM für Organisationen. Weitere Informationen zum Autorisieren eines Tokens für eine SAML SSO-Organisation findest du unter Authentifizieren bei der REST-API.
- Diese Endpunkte können nicht mit einem Unternehmenskonto oder mit einer Organisation mit verwalteten Benutzer*innen verwendet werden.
Authentifizierung
Du musst dich als Besitzer einer Organisation von GitHub Enterprise Cloud authentifizieren, um diese Endpunkte zu verwenden. Die REST-API erwartet, dass ein OAuth 2.0-Bearertoken (z. B. ein GitHub App-Benutzerzugriffstoken) in den Authorization
-Header eingeschlossen wird. Wenn du ein personal access token (classic) für die Authentifizierung verwendest, muss das Token über den Bereich admin:org
verfügen, und du musst es auch für die Verwendung mit deiner SAML-SSO-Organisation autorisieren.
Zuordnen von SAML- und SCIM-Daten
Der SAML-IdP und der SCIM-Client müssen für jeden Benutzer übereinstimmende NameID
- und userName
-Werte verwenden. Hierbei kann ein Benutzer, der sich über SAML authentifiziert, mit seiner bereitgestellten SCIM-Identität verknüpft werden.
Unterstützte SCIM-Benutzerattribute
Name | Typ | BESCHREIBUNG |
---|---|---|
userName | string | Der Benutzername für den oder die Benutzer*in |
name.givenName | string | Der Vorname des Benutzers. |
name.familyName | string | Der Nachname des Benutzers. |
emails | array | Liste der Benutzer-E-Mails |
externalId | string | Dieser Bezeichner wird vom SAML-Anbieter generiert und als eindeutige ID verwendet, um ihn einem oder einer GitHub-Benutzerin zuzuordnen. Du findest die externalID für Benutzerinnen entweder beim SAML-Anbieter oder indem du den Endpunkt von Auflisten durch SCIM bereitgestellter Identitäten verwendest und nach anderen bekannten Attributen filterst, z. B. nach dem GitHub-Benutzernamen oder der E-Mail-Adresse. |
id | string | Bezeichner, der vom GitHub-SCIM-Endpunkt generiert wurde |
active | boolean | Gibt an, ob die Identität aktiv (true) ist oder die Bereitstellung aufgehoben werden soll (false) |
Hinweis: Bei diesen Endpunkten wird die Groß-/Kleinschreibung beachtet. Beispielsweise muss der erste Buchstabe des Users
-Endpunkts großgeschrieben werden:
GET /scim/v2/organizations/{org}/Users/{scim_user_id}
List SCIM provisioned identities
Retrieves a paginated list of all provisioned organization members, including pending invitations. If you provide the filter
parameter, the resources for all matching provisions members are returned.
When a user with a SAML-provisioned external identity leaves (or is removed from) an organization, the account's metadata is immediately removed. However, the returned list of user accounts might not always match the organization or enterprise member list you see on GitHub Enterprise Cloud. This can happen in certain cases where an external identity associated with an organization will not match an organization member:
- When a user with a SCIM-provisioned external identity is removed from an organization, the account's metadata is preserved to allow the user to re-join the organization in the future.
- When inviting a user to join an organization, you can expect to see their external identity in the results before they accept the invitation, or if the invitation is cancelled (or never accepted).
- When a user is invited over SCIM, an external identity is created that matches with the invitee's email address. However, this identity is only linked to a user account when the user accepts the invitation by going through SAML SSO.
The returned list of external identities can include an entry for a null
user. These are unlinked SAML identities that are created when a user goes through the following Single Sign-On (SSO) process but does not sign in to their GitHub Enterprise Cloud account after completing SSO:
-
The user is granted access by the IdP and is not a member of the GitHub Enterprise Cloud organization.
-
The user attempts to access the GitHub Enterprise Cloud organization and initiates the SAML SSO process, and is not currently signed in to their GitHub Enterprise Cloud account.
-
After successfully authenticating with the SAML SSO IdP, the
null
external identity entry is created and the user is prompted to sign in to their GitHub Enterprise Cloud account:- If the user signs in, their GitHub Enterprise Cloud account is linked to this entry.
- If the user does not sign in (or does not create a new account when prompted), they are not added to the GitHub Enterprise Cloud organization, and the external identity
null
entry remains in place.
Differenzierte Zugriffstoken für "List SCIM provisioned identities"
Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:
- GitHub-App-Benutzerzugriffstoken
- Zugriffstoken für GitHub App-Installation
- Differenzierte persönliche Zugriffstoken
Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:
- "Members" organization permissions (read)
Parameter für „List SCIM provisioned identities“
Name, type, BESCHREIBUNG |
---|
accept string Setting to |
Name, type, BESCHREIBUNG |
---|
org string ErforderlichThe organization name. The name is not case sensitive. |
Name, type, BESCHREIBUNG |
---|
startIndex integer Used for pagination: the index of the first result to return. |
count integer Used for pagination: the number of results to return. |
filter string Filters results using the equals query parameter operator (
To filter results for the identity with the email
|
HTTP-Antwortstatuscodes für „List SCIM provisioned identities“
Statuscode | BESCHREIBUNG |
---|---|
200 | OK |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
429 | Too many requests |
Codebeispiele für „List SCIM provisioned identities“
Beispiele für Anforderungen
curl -L \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users
Response with filter
Status: 200
{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 1,
"itemsPerPage": 1,
"startIndex": 1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "5fc0c238-1112-11e8-8e45-920c87bdbd75",
"externalId": "00u1dhhb1fkIGP7RL1d8",
"userName": "octocat@github.com",
"displayName": "Mona Octocat",
"name": {
"givenName": "Mona",
"familyName": "Octocat",
"formatted": "Mona Octocat"
},
"emails": [
{
"value": "octocat@github.com",
"primary": true
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2018-02-13T15:05:24.000-08:00",
"lastModified": "2018-02-13T15:05:55.000-08:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/5fc0c238-1112-11e8-8e45-920c87bdbd75"
}
}
]
}
Provision and invite a SCIM user
Provisions organization membership for a user, and sends an activation email to the email address. If the user was previously a member of the organization, the invitation will reinstate any former privileges that the user had. For more information about reinstating former members, see "Reinstating a former member of your organization."
Differenzierte Zugriffstoken für "Provision and invite a SCIM user"
Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:
- GitHub-App-Benutzerzugriffstoken
- Zugriffstoken für GitHub App-Installation
- Differenzierte persönliche Zugriffstoken
Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:
- "Members" organization permissions (write)
Parameter für „Provision and invite a SCIM user“
Name, type, BESCHREIBUNG |
---|
accept string Setting to |
Name, type, BESCHREIBUNG |
---|
org string ErforderlichThe organization name. The name is not case sensitive. |
Name, type, BESCHREIBUNG | ||||
---|---|---|---|---|
userName string ErforderlichConfigured by the admin. Could be an email, login, or username | ||||
displayName string The name of the user, suitable for display to end-users | ||||
name object Erforderlich | ||||
Properties of |
Name, type, BESCHREIBUNG |
---|
givenName string Erforderlich |
familyName string Erforderlich |
formatted string |
emails
array of objects Erforderlichuser emails
Properties of emails
Name, type, BESCHREIBUNG |
---|
value string Erforderlich |
primary boolean |
type string |
schemas
array of strings externalId
string groups
array of strings active
boolean HTTP-Antwortstatuscodes für „Provision and invite a SCIM user“
Statuscode | BESCHREIBUNG |
---|---|
201 | Created |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
409 | Conflict |
500 | Internal server error |
Codebeispiele für „Provision and invite a SCIM user“
Anforderungsbeispiel
curl -L \
-X POST \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users \
-d '{"userName":"octocat","name":"Monalisa Octocat","emails":[{"value":"mona.octocat@github.com","primary":true}]}'
Response
Status: 201
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Get SCIM provisioning information for a user
Gets SCIM provisioning information for a user.
Differenzierte Zugriffstoken für "Get SCIM provisioning information for a user"
Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:
- GitHub-App-Benutzerzugriffstoken
- Zugriffstoken für GitHub App-Installation
- Differenzierte persönliche Zugriffstoken
Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:
- "Members" organization permissions (read)
Parameter für „Get SCIM provisioning information for a user“
Name, type, BESCHREIBUNG |
---|
accept string Setting to |
Name, type, BESCHREIBUNG |
---|
org string ErforderlichThe organization name. The name is not case sensitive. |
scim_user_id string ErforderlichThe unique identifier of the SCIM user. |
HTTP-Antwortstatuscodes für „Get SCIM provisioning information for a user“
Statuscode | BESCHREIBUNG |
---|---|
200 | OK |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
Codebeispiele für „Get SCIM provisioning information for a user“
Anforderungsbeispiel
curl -L \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID
Response
Status: 200
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Update a provisioned organization membership
Replaces an existing provisioned user's information. You must provide all the information required for the user as if you were provisioning them for the first time. Any existing user information that you don't provide will be removed. If you want to only update a specific attribute, use the Update an attribute for a SCIM user endpoint instead.
You must at least provide the required values for the user: userName
, name
, and emails
.
Warning
Setting active: false
removes the user from the organization, deletes the external identity, and deletes the associated {scim_user_id}
.
Differenzierte Zugriffstoken für "Update a provisioned organization membership"
Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:
- GitHub-App-Benutzerzugriffstoken
- Zugriffstoken für GitHub App-Installation
- Differenzierte persönliche Zugriffstoken
Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:
- "Members" organization permissions (write)
Parameter für „Update a provisioned organization membership“
Name, type, BESCHREIBUNG |
---|
accept string Setting to |
Name, type, BESCHREIBUNG |
---|
org string ErforderlichThe organization name. The name is not case sensitive. |
scim_user_id string ErforderlichThe unique identifier of the SCIM user. |
Name, type, BESCHREIBUNG | ||||
---|---|---|---|---|
schemas array of strings | ||||
displayName string The name of the user, suitable for display to end-users | ||||
externalId string | ||||
groups array of strings | ||||
active boolean | ||||
userName string ErforderlichConfigured by the admin. Could be an email, login, or username | ||||
name object Erforderlich | ||||
Properties of |
Name, type, BESCHREIBUNG |
---|
givenName string Erforderlich |
familyName string Erforderlich |
formatted string |
emails
array of objects Erforderlichuser emails
Properties of emails
Name, type, BESCHREIBUNG |
---|
type string |
value string Erforderlich |
primary boolean |
HTTP-Antwortstatuscodes für „Update a provisioned organization membership“
Statuscode | BESCHREIBUNG |
---|---|
200 | OK |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
Codebeispiele für „Update a provisioned organization membership“
Anforderungsbeispiel
curl -L \
-X PUT \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \
-d '{"userName":"octocat","name":"Monalisa Octocat","emails":[{"value":"mona.octocat@github.com","primary":true}]}'
Response
Status: 200
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Update an attribute for a SCIM user
Allows you to change a provisioned user's individual attributes. To change a user's values, you must provide a specific Operations
JSON format that contains at least one of the add
, remove
, or replace
operations. For examples and more information on the SCIM operations format, see the SCIM specification.
Note
Complicated SCIM path
selectors that include filters are not supported. For example, a path
selector defined as "path": "emails[type eq \"work\"]"
will not work.
Warning
If you set active:false
using the replace
operation (as shown in the JSON example below), it removes the user from the organization, deletes the external identity, and deletes the associated :scim_user_id
.
{
"Operations":[{
"op":"replace",
"value":{
"active":false
}
}]
}
Differenzierte Zugriffstoken für "Update an attribute for a SCIM user"
Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:
- GitHub-App-Benutzerzugriffstoken
- Zugriffstoken für GitHub App-Installation
- Differenzierte persönliche Zugriffstoken
Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:
- "Members" organization permissions (write)
Parameter für „Update an attribute for a SCIM user“
Name, type, BESCHREIBUNG |
---|
accept string Setting to |
Name, type, BESCHREIBUNG |
---|
org string ErforderlichThe organization name. The name is not case sensitive. |
scim_user_id string ErforderlichThe unique identifier of the SCIM user. |
Name, type, BESCHREIBUNG | ||||
---|---|---|---|---|
schemas array of strings | ||||
Operations array of objects ErforderlichSet of operations to be performed | ||||
Properties of |
Name, type, BESCHREIBUNG |
---|
op string ErforderlichKann eine der Folgenden sein: |
path string |
value object or array or string |
HTTP-Antwortstatuscodes für „Update an attribute for a SCIM user“
Statuscode | BESCHREIBUNG |
---|---|
200 | OK |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
429 | Too Many Requests |
Codebeispiele für „Update an attribute for a SCIM user“
Anforderungsbeispiel
curl -L \
-X PATCH \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \
-d '{"Operations":[{"op":"replace","value":{"displayName":"Octocat"}}]}'
Response
Status: 200
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}
Delete a SCIM user from an organization
Deletes a SCIM user from an organization.
Differenzierte Zugriffstoken für "Delete a SCIM user from an organization"
Dieser Endpunkt funktioniert mit den folgenden differenzierten Tokentypen.:
- GitHub-App-Benutzerzugriffstoken
- Zugriffstoken für GitHub App-Installation
- Differenzierte persönliche Zugriffstoken
Das differenzierte Token muss einen der folgenden Berechtigungssätze aufweisen.:
- "Members" organization permissions (write)
Parameter für „Delete a SCIM user from an organization“
Name, type, BESCHREIBUNG |
---|
accept string Setting to |
Name, type, BESCHREIBUNG |
---|
org string ErforderlichThe organization name. The name is not case sensitive. |
scim_user_id string ErforderlichThe unique identifier of the SCIM user. |
HTTP-Antwortstatuscodes für „Delete a SCIM user from an organization“
Statuscode | BESCHREIBUNG |
---|---|
204 | No Content |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
Codebeispiele für „Delete a SCIM user from an organization“
Anforderungsbeispiel
curl -L \
-X DELETE \
-H "Accept: application/vnd.github+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2022-11-28" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID
Response
Status: 204