Deaktivieren und Reaktivieren von Benutzern mit SCIM

Erfahre mehr über die Deprovisionierung oder Wiederherstellung von Benutzern.

Wer kann dieses Feature verwenden?

Enterprises that use Enterprise Managed Users, or GitHub Enterprise Server instances with SCIM enabled

In diesem Artikel

Wenn du SCIM für Ihre GitHub Enterprise Server-Instance aktiviert hast, wirst du SCIM für folgende Zwecke nutzen:

  • Deprovisionieren von Benutzern und Gruppen, um ihren Zugriff zu entfernen.
  • Reaktivieren von zuvor deaktivierten Benutzern

Bevor du einen Benutzer deaktivierst, ist es wichtig, die Auswirkungen der Deaktivierung nachzuvollziehen, die vom Typ des API-Aufrufs für die Deaktivierung abhängt, den GitHub von deinem Identitätsanbieter empfängt.

Wichtig

Stelle vor dem Fortfahren sicher, dass du verstehst, wie SCIM in deinem Unternehmen implementiert wurde. GitHub bietet eine Anwendung mit vorgefertigtem Pfad, wenn du für die Authentifizierung und Bereitstellung einen unterstützten Identitätsanbieter (IdP) verwendest. Wenn du keine Anwendung mit vorgefertigtem Pfad verwendest, verwende für SCIM-Anforderungen die REST-API. Weitere Informationen findest du unter AUTOTITLE.

Typen der Deaktivierung von Benutzern

Wenn ein Benutzer entfernt wird, wird das GitHub-Konto gesperrt, wodurch der Benutzer nicht auf Ihre Organisation zugreifen kann. Unabhängig von der Art der DeProvisionierung wird ein deprovisioniertes Konto niemals aus dem Unternehmenssystem gelöscht.

Durch den Typ des Deaktivierungsaufrufs, den GitHub von deinem Identitätsanbieter empfängt, wird bestimmt, ob ein deaktivierte Benutzer entsperrt (reaktiviert) werden kann.

  • Sanfte Deprovisionierung: In bestimmten Szenarien kann der Benutzer über Ihre SCIM-Integration reaktiviert werden.
  • Endgültiges Deaktivieren: Es ist nicht möglich, den Benutzer zu entsperren. Ein neues Konto muss bereitgestellt werden, wenn die Person wieder Zugriff benötigt.

Auswirkungen der Deaktivierung eines Benutzers

Wenn du ein Benutzerkonto über deinen Identitätsanbieter oder die REST-API deaktivierst, nimmt GitHub Änderungen am Benutzerkonto vor.

Auswirkungen der vorläufigen Deaktivierung

  • Der Benutzer wird gesperrt und verliert den Zugriff auf dein Unternehmen und alle privaten Ressourcen.
  • Nachdem das Benutzerkonto gesperrt wurde, wird es auf der Seite „Suspended members“ anstelle der Seite „Members“ im Abschnitt „People“ der Unternehmenseinstellungen aufgeführt.
  • Der Benutzername des Nutzers wird in einen Hash des ursprünglichen Benutzernamens umgewandelt.
  • Mit Entra ID bleibt die E-Mail-Adresse des Benutzers gleich. In allen weiteren Fällen wird die E-Mail des Benutzers verschleiert.
  • Die SCIM-Identität des Benutzers bleibt auf GitHub mit seinem Benutzerkonto verknüpft. Mit Entra ID wird der Attributwert in der gespeicherten verknüpften SCIM-Identität von auf aktualisiert.
  • Wenn der Benutzer über Forks privater oder interner Repositorys verfügt, werden die Forks innerhalb von 24 Stunden gelöscht. Die Forks werden wiederhergestellt, wenn der Benutzer innerhalb von 90 Tagen entsperrt wird.
  • Wenn der Benutzer Mitglied einer über SCIM bereitgestellten Identitätsanbietergruppe ist, wird sie aus diesen Gruppen ausgeblendet und aus allen Teams entfernt, die diesen Gruppen zugeordnet sind. Beachte, dass das auch dann geschieht, wenn der Benutzer weiterhin Mitglied der Gruppe auf der Seite des Identitätsanbieters ist.
  • Wenn die Organisationsmitgliedschaft durch Identitätsanbietergruppen verwaltet wird, wird der Benutzer aus Organisationen entfernt, wenn er aus diesen Identitätsanbietergruppen oder aus allen Teams entfernt wird, die Identitätsanbietergruppen in der Organisation zugeordnet sind.
  • Wenn die Organisationsmitgliedschaft direkt verwaltet wird, bleibt der Benutzer als „gesperrtes Mitglied“ in der Organisation ohne Zugriff, bis er manuell entfernt wird.

Auswirkungen der schweren Deprovisionierung

  • Der Benutzer wird gesperrt und verliert den Zugriff auf dein Unternehmen und alle privaten Ressourcen.
  • Nachdem das Benutzerkonto gesperrt wurde, wird es auf der Seite „Suspended members“ anstelle der Seite „Members“ im Abschnitt „People“ der Unternehmenseinstellungen aufgeführt.
  • Der Benutzername wird als Hash des ursprünglichen Benutzernamens verschleiert.
  • Die E-Mail-Adresse des Benutzers wird verschleiert.
  • Der Anzeigename des Benutzers wird auf eine leere Zeichenfolge festgelegt.
  • Die verknüpfte SCIM-Identität des Benutzers wird einschließlich aller SCIM-Attribute des Benutzers gelöscht.
  • Die personal access tokens, fine-grained personal access tokens, SSH-Schlüssel, GPG-Schlüssel und Anwendungsautorisierungen des Benutzers werden gelöscht. Das Löschen von Schlüsseln kann sich auf die Überprüfung von Commits auswirken. Weitere Informationen findest du unter AUTOTITLE.
  • Repositorys im Besitz eines Benutzers werden gelöscht.
  • Vom Benutzer erstellte Ressourcen wie Kommentare werden beibehalten.
  • Wenn der Benutzer Mitglied einer über SCIM bereitgestellten Identitätsanbietergruppe ist, wird sie aus diesen Gruppen ausgeblendet und aus allen Teams entfernt, die diesen Gruppen zugeordnet sind. Beachte, dass das auch dann geschieht, wenn der Benutzer weiterhin Mitglied der Gruppe auf der Seite des Identitätsanbieters ist.
  • Wenn die Organisationsmitgliedschaft durch Identitätsanbietergruppen verwaltet wird, wird der Benutzer aus Organisationen entfernt, wenn er aus diesen Identitätsanbietergruppen oder aus allen Teams entfernt wird, die Identitätsanbietergruppen in der Organisation zugeordnet sind.
  • Wenn die Organisationsmitgliedschaft direkt verwaltet wird, bleibt der Benutzer als „gesperrtes Mitglied“ in der Organisation ohne Zugriff, bis er manuell entfernt wird.

Aktionen, die eine Deprovisionierung auslösen

Verschiedene Aktionen lösen die vorläufige und endgültige Deprovisionierung aus, und die Auslöser variieren je nach SCIM-Integration. In der Regel lösen die meisten Aktionen, die du in den Paved-Path-IdP-Anwendungen ausführst, lediglich eine weiche Deaktivierung aus. Es bestehen jedoch Ausnahmen.

Auslöser für die sanfte Deaktivierung

SCIM-IntegrationAuslöser für die sanfte Deaktivierung
REST-APIEine - oder -Anforderung wird an gesendet, wodurch das Feld eines Benutzers auf aktualisiert wird.
Entra IDEin Benutzer ist in Entra ID deaktiviert, seine Zuweisung zur Anwendung wurde aufgehoben, sie wurde aus allen zugewiesenen Gruppen entfernt oder durch die Administration vorläufig aus dem Mandanten gelöscht. Weitere Informationen findest du in der Microsoft-Dokumentation unter Vorläufige Löschungen.
OktaDie Zuweisung eines Benutzers zur Anwendung wird aufgehoben, oder der Benutzer wird aus allen zugewiesenen Gruppen entfernt oder mit der Schaltfläche „Deactivate“ deaktiviert. Beachte, dass die Schaltfläche „Suspend“ keine Anforderung an GitHub sendet. Okta sendet lediglich Anrufe für vorläufige Deaktivierungen.
PingFederateDer Benutzer wird gesperrt, deaktiviert oder aus dem Benutzerspeicher entfernt, der vom Bereitstellungsdienst angesprochen wird.

Auslöser für die endgültige Entfernung der Bereitstellung

SCIM-IntegrationAuslöser für die endgültige Deaktivierung
REST-APIEine -Anforderung wird an gesendet.
Entra IDDie endgültige Löschung eines Entra ID-Benutzerkontos, wie in der Microsoft-Dokumentation unter Endgültige Löschungen beschrieben. Entra ID-Benutzer, die vorläufig gelöscht werden (auf der Seite „Benutzer > Gelöschte Benutzer“ des Entra ID-Verwaltungsportals) werden 30 Tage nach dem vorläufigen Löschen durch Entra ID automatisch endgültig gelöscht.
OktaN/V. Okta sendet keine Anfragen für die vollständige Deprovisionierung.
PingFederateWenn die Einstellung „Remove User Action“ durch eine Fehlkonfiguration auf „Delete“ anstelle von „Disable“ festgelegt ist, wird durch diese Aktion ein endgültiger Entfernungsaufruf ausgelöst. Weitere Informationen findest du in der PingIdentity-Dokumentation.

Reaktivieren eines vorläufig deaktivierten Benutzerkontos

Um den Zugriff und die Kontodetails des Benutzers wiederherzustellen, kannst du das Konto eines vorläufig deaktivierten Benutzers erneut bereitstellen, solang es sich dabei um dasselbe Benutzerkonto des Identitätsanbieters handelt. Das Benutzerkonto des IdP muss dasselbe bleiben, da ein teilweise deaktiviertes Benutzerkonto basierend auf der Benutzerobjekt-ID des IdP und SCIM weiterhin mit dieser externen Identität verknüpft bleibt. Die externe Identität kann nicht geändert werden, die mit einem einzelnen vorläufig deaktivierten Benutzerkonto verknüpft ist.

Auswirkungen der Neuprovisionierung

  • Der Benutzer ist entsperrt und erhält wieder Zugriff auf dein Unternehmen.
  • Der Benutzername und die E-Mail-Adresse des Benutzers werden wiederhergestellt.
  • Wenn der Benutzer Mitglied einer durch SCIM bereitgestellten Identitätsanbietergruppe ist, die einem Team in einer Organisation zugeordnet ist, wird der Benutzer unmittelbar nach der Reaktivierung seines Benutzerkontos zur Organisation hinzugefügt. Wenn er zuvor Mitglied der Organisation war, wird seine Mitgliedschaft reaktiviert, solang seit der Entfernung nicht mehr als 90 Tage vergangen sind. Weitere Informationen findest du unter AUTOTITLE.
  • Wenn der Benutzer kein Mitglied einer durch SCIM bereitgestellten Identitätsanbietergruppe ist, die einem Team in einer Organisation zugeordnet ist, muss ein GitHub-Organisationsinhaber das Benutzerkonto manuell zur Organisation hinzufügen, nachdem es erneut bereitgestellt wurde.
  • Gelöschte Forks werden wiederhergestellt, wenn der Benutzer innerhalb von bis zu 90 Tagen nach der Sperrung entsperrt wird.
  • Dem Benutzer zugeordnete Elemente werden einschließlich der folgenden Elemente wiederhergestellt:
    • GitHub Apps, OAuth apps und App-Berechtigungen
    • Personal access tokens
    • SSH-Schlüssel
    • Token- und Schlüsselautorisierungen
    • Repositorys im Besitz von Benutzern

Aktionen, die eine Reaktivierung auslösen

Wie du einen Benutzer neu bereitstellst, hängt von deiner SCIM-Integration und der Aktion ab, die die Soft-Deaktivierung ausgelöst hat.

SCIM-ImplementierungVorgang zum Neuprovisionieren von Benutzern
Entra IDDu kannst ein deaktiviertes Konto reaktivieren oder einen Benutzer direkt oder über eine zugewiesene Gruppe der Anwendung neu zuweisen. Warte 40 Minuten, bis die Änderungen verarbeitet wurden, oder beschleunige den Vorgang mit die Schaltfläche „Provision on Demand“.
OktaReaktiviere das Konto, oder weise den Benutzer der Anwendung direkt oder über eine Gruppe neu zu.
PingFederateEntsperre oder reaktiviere den Benutzer in der Benutzerdatenbank oder füge den Benutzer erneut der Datenspeichergruppe oder dem Filter hinzu, auf die die Bereitstellungsinstanz ausgerichtet ist.
REST-APISende eine - oder -Anforderung an , und aktualisiere das Feld des Benutzers auf .

Reaktivieren eines aufwendig deaktivierten Benutzerkontos

Du kannst kein GitHub-Benutzerkonto wiederherstellen, das über SCIM endgültig deaktiviert wurde. Stattdessen musst du ein neues GitHub-Konto für den Benutzer bereitstellen.

Du kannst den Benutzernamen des dauerhaft deaktivierten Benutzers beim Bereitstellen des neuen Kontos wiederverwenden. Es ist jedoch nicht möglich, das endgültig deaktivierte Benutzerkonto mit dem neuen Benutzerkonto auf GitHub zusammenzuführen.

  • Wenn die E-Mail-Adressen des hart-deprovisionierten Benutzers und des neuen Benutzers übereinstimmen, ordnet GitHub vorhandene Git-Commits, die der E-Mail-Adresse zugeordnet sind, dem neuen Benutzer zu.
  • Vorhandene Ressourcen und Kommentare, die vom ursprünglichen Benutzer erstellt wurden, werden nicht dem neuen Benutzer zugeordnet.

Überwachungsprotokollereignisse

Das Überwachungsprotokoll für Ihr Unternehmen zeigt Details zu Aktivitäten in Ihrem Unternehmen an. Sie können das Überwachungsprotokoll verwenden, um Ihre Konfiguration von SCIM zu unterstützen. Weitere Informationen finden Sie unter AUTOTITLE.

Wichtig

Es wird dringend empfohlen, dass ein Unternehmensbesitzer Unternehmensüberwachungsprotokollfeatures wie Überwachungsprotokollstreaming, Offenlegung der Quell-IP und die Option zum Streamen von API-Anforderungen ermöglicht. Wenn du diese Ereignisse streamst, kann die Administration eine Protokollaufbewahrungsrichtlinie festlegen, die den Anforderungen ihres Unternehmens entspricht, und ihre bevorzugten Tools zum Abfragen dieser Protokolle verwenden.

Ereignisse für ressourcenschonende Deprovisionierung

Wenn Sie die teilweise Entprovisionierung eines Benutzers vornehmen, wird das Ereignis nicht im Überwachungsprotokoll angezeigt. Die folgenden Ereignisse werden im Überwachungsprotokoll angezeigt:

  • user.suspend
  • user.remove_email
  • user.rename
  • external_identity.deprovision
  • Wenn die Anforderung erfolgreich war,
  • Wenn die Anforderung fehlschlägt,
  • Wenn der Benutzer Mitglied von IdP-Gruppen ist, die zu Teams zugeordnet sind,
  • Wenn die Mitgliedschaft eines Benutzers in einer Organisation durch den Identitätsanbieter verwaltet wird und sie aus allen Teams entfernt wird, die Identitätsanbietergruppen in der Organisation zugeordnet sind:

Ereignisse für das endgültige Deaktivieren

  • external_identity.deprovision
  • user.remove_email
  • Wenn die Anforderung erfolgreich war,
  • Wenn die Anforderung fehlschlägt,
  • Wenn der Benutzer Mitglied von IdP-Gruppen ist, die zu Teams zugeordnet sind.
  • Wenn die Mitgliedschaft eines Benutzers in einer Organisation durch den Identitätsanbieter verwaltet wird und sie aus allen Teams entfernt wird, die Identitätsanbietergruppen in der Organisation zugeordnet sind:

Ereignisse für das Reaktivieren

Wenn Sie einen Benutzer reaktivieren, wird das -Ereignis nicht im Überwachungsprotokoll angezeigt. Die folgenden Ereignisse werden im Überwachungsprotokoll angezeigt:

  • user.unsuspend
  • user.remove_email
  • user.rename
  • external_identity.provision
  • Wenn die Anforderung erfolgreich war,
  • Wenn die Anforderung fehlschlägt,
  • Wenn der Benutzer Mitglied einer durch SCIM bereitgestellten Identitätsanbietergruppe ist und diese Gruppe einem Team in einer Organisation zugeordnet ist:

Weiterführende Lektüre

  • AUTOTITEL