À propos de SCIM pour les organisations

Avec SCIM (System for Cross-domain Identity Management), les administrateurs peuvent automatiser l’échange d’informations d’identité utilisateur entre les systèmes.

Dans cet article

À propos de SCIM pour les organisations

Si votre organisation utilise l’authentification unique SAML, vous pouvez implémenter SCIM pour ajouter, gérer et supprimer l’accès des membres de l’organisation à GitHub Enterprise Cloud. Par exemple, un administrateur peut déprovisionner un membre d’une organisation en utilisant SCIM et supprimer automatiquement le membre de l’organisation.

Remarque : Pour utiliser l’authentification unique SAML, votre organisation doit utiliser GitHub Enterprise Cloud. Pour plus d’informations sur la façon d’essayer gratuitement GitHub Enterprise Cloud, consultez « Configuration d’un essai de GitHub Enterprise Cloud ».

Vous ne pouvez pas utiliser cette implémentation de SCIM avec un compte d’entreprise ou un organisation avec utilisateurs managés. Si votre entreprise est activée pour Enterprise Managed Users, vous devez utiliser une implémentation différente de SCIM. Sinon, SCIM n’est pas disponible au niveau de l’entreprise. Pour plus d’informations, consultez « Configuration du provisionnement SCIM pour Enterprise Managed Users ».

Si vous utilisez l’authentification unique SAML sans implémenter SCIM, vous n’aurez pas de déprovisionnement automatique. Quand les sessions des membres d’une organisation expirent après la suppression de leur accès auprès du fournisseur d’identité, elles ne sont pas supprimées automatiquement de l’organisation. Les jetons autorisés accordent l’accès à l’organisation même après l’expiration de leurs sessions. Si SCIM n’est pas utilisé, pour supprimer entièrement l’accès d’un membre, un propriétaire de l’organisation doit supprimer l’accès du membre dans le fournisseur d’identité et supprimer manuellement le membre de l’organisation sur GitHub.

Si l’approvisionnement de SCIM est implémenté pour votre organisation, toutes les modifications apportées à l’appartenance à l’organisation d’un utilisateur devraient être déclenchées à partir du fournisseur d’identité. Si un utilisateur est invité à une organisation manuellement plutôt que par une intégration de SCIM existante, il se peut que son compte d’utilisateur ne soit pas correctement lié à son identité SCIM. Cela peut empêcher le déprovisionnement du compte d’utilisateur via SCIM à l’avenir. Si un utilisateur est supprimé manuellement plutôt que par une intégration SCIM existante, une identité liée obsolète subsiste, qui peut occasionner des problèmes si l’utilisateur a besoin de rejoindre à nouveau l’organisation.

Fournisseurs d’identité pris en charge

Ces fournisseurs d’identité sont compatibles avec l’API SCIM GitHub Enterprise Cloud pour les organisations. Pour plus d’informations, consultez « Points de terminaison d’API REST pour SCIM ».

  • Microsoft Entra ID (actuellement appelé Azure AD)
  • Okta
  • OneLogin

À propos de la configuration SCIM pour les organisations

Pour utiliser SCIM avec votre organisation, vous devez utiliser une OAuth app tierce. OAuth app doit être autorisé par et par la suite agir pour le compte d’un utilisateur GitHub spécifique. Si l’utilisateur qui a autorisé cette OAuth app quitte ou est supprimé de l’organisation, SCIM cesse de fonctionner. Pour éviter ce problème, nous vous recommandons de créer un compte d’utilisateur dédié pour configurer SCIM. Ce compte d’utilisateur doit être propriétaire de l’organisation et consommera une licence.

Avant d’autoriser OAuth app, vous devez avoir une session SAML active. Pour plus d’informations, consultez « À propos de l’authentification unique SAML ».

Remarque : Le fournisseur d’identité SAML et le client SCIM doivent utiliser des valeurs NameID et userName correspondantes pour chaque utilisateur. Ce processus permet à un utilisateur s’authentifiant via SAML d’être lié à son identité SCIM approvisionnée.

Pour aller plus loin