Enterprise Managed Users のプロビジョニングについて
エンタープライズ メンバーのユーザー アカウントを作成、管理、非アクティブ化するには、Enterprise Managed Users のプロビジョニングを構成する必要があります。
Enterprise Managed Users のプロビジョニングを構成した後、ID プロバイダーの GitHub Enterprise Managed User アプリケーションに割り当てられているユーザーは、SCIM を介して GitHub の新しいマネージド ユーザー アカウントとしてプロビジョニングされ、そのマネージド ユーザー アカウントは Enterprise に追加されます。 そのアプリケーションにグループを割り当てると、そのグループ内のすべてのユーザーは、新しいマネージド ユーザー アカウントとしてプロビジョニングされます。
ユーザーの ID に関連付けられている情報を IdP で更新すると、IdP によってそのユーザーの GitHub.com のアカウントが更新されます。 GitHub Enterprise Managed User アプリケーションからユーザーの割り当てを解除するか、IdP でユーザーのアカウントを非アクティブ化すると、IdP は GitHub と通信してセッションを無効にし、メンバーのアカウントを無効にします。 無効になったアカウントの情報は維持され、それらのユーザー名は、短いコードが追加された元のユーザー名のハッシュに変更されます。 ユーザーを GitHub Enterprise Managed User アプリケーションにもう一度割り当てるか、IdP で自分のアカウントを再アクティブ化すると、GitHub のマネージド ユーザー アカウントが再アクティブ化されて、ユーザー名が復元されます。
IdP 内のグループを使用して、エンタープライズの組織内のチーム メンバーシップを管理できます。これにより、IdP を使用してリポジトリへのアクセスとアクセス許可を構成できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。
前提条件
Enterprise Managed Users のプロビジョニングを構成する前に、SAML または OIDC シングル サインオンを構成する必要があります。
- OIDC の構成について詳しくは、「エンタープライズ マネージド ユーザーの OIDC の構成」を参照してください
- SAML の構成について詳しくは、「エンタープライズ マネージド ユーザーの SAML シングル サインオンの構成」を参照してください。
personal access tokenの作成
マネージド ユーザーを含む Enterprise のプロビジョニングを構成するには、セットアップ ユーザーに属する admin:enterprise スコープを持つpersonal access token (classic) が必要です。
警告: トークンの有効期限が切れた場合、またはプロビジョニングされたユーザーがトークンを作成すると、SCIM プロビジョニングが予期せず動作しなくなる可能性があります。 セットアップ ユーザーとしてサインインしているときにトークンを作成し、トークンの有効期限が [有効期限なし] に設定されていることを確認します。
-
ユーザー名 @SHORT-CODE_admin を使用して、新しいエンタープライズのセットアップ ユーザーとして GitHub.com にサインインします。
-
任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。
-
左側のサイドバーで、 [開発者向け設定] をクリックします。
-
左側のサイドバーで、 [Personal access token] をクリックします。
1. [新しいトークンの生成] をクリックします。 -
[メモ] で、トークンにわかりやすい名前を付けます。
-
[有効期限] ドロップダウン メニューを選択し、 [有効期限なし] をクリックします。
-
[admin:enterprise] スコープを選択します。
-
[トークンの生成] をクリックします。
-
トークンをクリップボードにコピーするには、 をクリックします。
-
後で使用するためにトークンを保存するには、パスワード マネージャーに新しいトークンを安全に格納します。
Enterprise Managed Users のプロビジョニングの構成
personal access tokenを作成して安全に格納した後、ID プロバイダーでプロビジョニングを構成できます。
注: GitHub Enterprise Cloud のレート制限を超えないようにするには、IdP アプリケーションに 1 時間あたり 1,000 人を超えるユーザーを割り当てないでください。 グループを使用して IdP アプリケーションにユーザーを割り当てる場合、1 時間あたり 100 人を超えるユーザーを各グループに追加しないでください。 これらのしきい値を超えると、ユーザーをプロビジョニングしようとすると、"レート制限" エラーが発生して失敗する可能性があります。
プロビジョニングを構成するには、次の表にある該当リンクに従います。
| ID プロバイダー | SSO メソッド | その他の情報 | |---|---|---| | Azure AD | OIDC | Azure AD ドキュメントの「チュートリアル: GitHub Enterprise Managed User (OIDC) を構成し、自動ユーザー プロビジョニングに対応させる」 | | Azure AD | SAML | Azure AD ドキュメントの「チュートリアル: GitHub Enterprise Managed User を構成し、自動ユーザー プロビジョニングに対応させる」 | | Okta | SAML | Enterprise Managed Users と Okta に合わせて SCIM プロビジョニングを構成する |
メモ: Azure AD は、入れ子になったグループのプロビジョニングをサポートしていません。 詳細については、「Azure Active Directory でのアプリケーションのプロビジョニングのしくみ」をご覧ください。