Skip to main content

エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成

クロスドメイン ID 管理システム (SCIM) を使用して、ID プロバイダー (IdP) から GitHub.com の Enterprise のユーザー アカウントのライフサイクルを管理できます。

Who can use this feature?

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳しくは、「Enterprise Managed Users について」を参照してください。

Enterprise Managed Users のプロビジョニングについて

GitHub.com エンタープライズ メンバーのユーザー アカウントを作成、管理、アクティブ化するには、IdP が SCIM を実装し、GitHub と通信する必要があります。 SCIM は、システム間のユーザー ID を管理するためのオープン仕様です。 IDP が異なると、SCIM プロビジョニングの構成に異なるエクスペリエンスが提供されます。

Enterprise Managed Users のプロビジョニングを構成すると、IdP は SCIM を使用して、GitHub.com のユーザー アカウントをプロビジョニングし、Enterprise にアカウントを追加します。 そのアプリケーションにグループを割り当てると、IdP は、グループのすべてのメンバーに対して新しい マネージド ユーザー アカウント をプロビジョニングします。

パートナー IdP を使用する場合は、パートナー IdP のアプリケーションを使用して SCIM プロビジョニングの構成を簡略化できます。 プロビジョニングにパートナー IdP を使用しない場合は、GitHub の REST API for SCIM の呼び出しを使用して SCIM を実装できます。これはベータ版であり、変更される可能性があります。 詳しくは、「Enterprise Managed Users について」を参照してください。

SCIM は、Enterprise 内のユーザー アカウントのライフサイクルを管理します。 ユーザーの ID に関連付けられている情報を IdP で更新すると、IdP によってそのユーザーの GitHub.com のアカウントが更新されます。 Enterprise Managed Users の IdP アプリケーションからユーザーの割り当てを解除するか、IdP でユーザーのアカウントを非アクティブ化すると、IdP は GitHub と通信してすべてのセッションを無効にし、メンバーのアカウントを無効にします。 無効になったアカウントの情報は維持され、それらのユーザー名は、短いコードが追加された元のユーザー名のハッシュに変更されます。 ユーザーを Enterprise Managed Users の IdP アプリケーションに再割当するか、IdP でアカウントを再度有効にすると、GitHub の マネージド ユーザー アカウント が再度有効にされて、ユーザー名が復元されます。

GitHub Enterprise Cloud に対するチームと組織のメンバーシップ、リポジトリ アクセス、アクセス許可を構成するには、IdP でグループを使用できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

前提条件

  • プロビジョンニングを完了する前に、認証を構成する必要があります。 詳しくは、「Enterprise Managed User の認証を構成する」を参照してください。

  • プロビジョニングを構成する前に、IdP の統合要件とサポート レベルを理解しておく必要があります。 詳しくは、「Enterprise Managed Users について」を参照してください。

  • 認証とプロビジョニングを最初に構成した後、GitHub では、認証またはプロビジョニングのために別のプラットフォームへの移行は推奨されません。 認証またはプロビジョニングのために既存の企業を別のプラットフォームに移行する必要がある場合は、GitHub の営業チーム のアカウント マネージャーにお問い合わせください。

personal access tokenの作成

マネージド ユーザーを含む Enterprise のプロビジョニングを構成するには、セットアップ ユーザーに属する admin:enterprise スコープを持つpersonal access token (classic) が必要です。

警告: トークンの有効期限が切れた場合、またはプロビジョニングされたユーザーがトークンを作成すると、SCIM プロビジョニングが予期せず動作しなくなる可能性があります。 セットアップ ユーザーとしてサインインしているときにトークンを作成し、トークンの有効期限が [有効期限なし] に設定されていることを確認します。

  1. ユーザー名 @SHORT-CODE_admin を使用して、新しいエンタープライズのセットアップ ユーザーとして GitHub.com にサインインします。

  2. 任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  3. 左側のサイドバーで [ 開発者設定] をクリックします。

  4. 左側のサイドバーで、 [Personal access token] をクリックします。

  5. [新しいトークンの生成] をクリックします。

  6. [メモ] で、トークンにわかりやすい名前を付けます。

  7. [有効期限] ドロップダウン メニューを選んでから、 [有効期限なし] をクリックします。

  8. [admin:enterprise] スコープを選択します。 チェックボックス付きのスコープのリストのスクリーンショット。 "admin:enterprise" スコープは、"エンタープライズのフル コントロール" というテキストと共に選ばれ、オレンジ色のアウトラインで強調表示されています。

  9. [トークンの生成] をクリックします。

  10. トークンをクリップボードにコピーするには、 をクリックします。

    [Personal access tokens] ページのスクリーンショット。 ぼかしたトークンの横には、重なっている 2 つの正方形のアイコンがオレンジ色の枠線で囲まれています。

  11. 後で使用するためにトークンを保存するには、パスワード マネージャーに新しいトークンを安全に格納します。

Enterprise Managed Users のプロビジョニングの構成

personal access token を作成して安全に格納した後、IdP でプロビジョニングを構成できます。 手順は、プロビジョニングにパートナー IdP を使用するかどうかによって異なります。

パートナー IdP を使用する場合のプロビジョニングの構成

認証とプロビジョニングの両方でパートナー IdP のアプリケーションを使用するには、次の表のリンクでプロビジョニングを構成するためのパートナーの手順を確認します。

または、パートナー IdP で認証を構成したが、別の IdP からユーザーをプロビジョニングする場合は、IdP で GitHub の REST API for SCIM を呼び出すことができます。

パートナー IdP を使用しない場合のプロビジョニングの構成

パートナー IdP を使用しない場合は、GitHub の REST API for SCIM と統合できます。 この API はベータ版であり、変更される可能性があります。 詳しくは、「REST API を使用した SCIM でのユーザーのプロビジョニング」を参照してください。

ユーザーとグループの割り当て

SAML SSO とプロビジョニングを構成したら、GitHub Enterprise Managed User アプリケーションにユーザーまたはグループを割り当てることで、GitHub.com に新しいユーザーをプロビジョニングできるようになります。

ユーザーを割り当てるときは、GitHub Enterprise Managed User アプリケーションの [ロール] 属性を使用して、エンタープライズのユーザーのロールを GitHub Enterprise Cloud で設定できます。 割り当て可能なロールについて詳しくは、「Enterprise におけるロール」を参照してください。

Entra ID は、入れ子になったグループのプロビジョニングをサポートしていません。 詳細については、「Microsoft Entra ID でのアプリケーション プロビジョニングのしくみ」を参照してください。