Skip to main content

エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成

新しいユーザーをプロビジョニングし、エンタープライズとチームのメンバーシップを管理するように ID プロバイダーを構成できます。

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳しくは、「Enterprise Managed Users について」を参照してください。

Enterprise Managed Users のプロビジョニングについて

エンタープライズ メンバーのユーザー アカウントを作成、管理、非アクティブ化するには、Enterprise Managed Users のプロビジョニングを構成する必要があります。

Enterprise Managed Users のプロビジョニングを構成した後、ID プロバイダーの GitHub Enterprise Managed User アプリケーションに割り当てられているユーザーは、SCIM を介して GitHub の新しいマネージド ユーザー アカウントとしてプロビジョニングされ、そのマネージド ユーザー アカウントは Enterprise に追加されます。 そのアプリケーションにグループを割り当てると、そのグループ内のすべてのユーザーは、新しいマネージド ユーザー アカウントとしてプロビジョニングされます。

ユーザーの ID に関連付けられている情報を IdP で更新すると、IdP によってそのユーザーの GitHub.com のアカウントが更新されます。 GitHub Enterprise Managed User アプリケーションからユーザーの割り当てを解除するか、IdP でユーザーのアカウントを非アクティブ化すると、IdP は GitHub と通信してセッションを無効にし、メンバーのアカウントを無効にします。 無効になったアカウントの情報は維持され、それらのユーザー名は、短いコードが追加された元のユーザー名のハッシュに変更されます。 ユーザーを GitHub Enterprise Managed User アプリケーションにもう一度割り当てるか、IdP で自分のアカウントを再アクティブ化すると、GitHub のマネージド ユーザー アカウントが再アクティブ化されて、ユーザー名が復元されます。

IdP 内のグループを使用して、エンタープライズの組織内のチーム メンバーシップを管理できます。これにより、IdP を使用してリポジトリへのアクセスとアクセス許可を構成できます。 詳しくは、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

前提条件

Enterprise Managed Users のプロビジョニングを構成する前に、SAML または OIDC シングル サインオンを構成する必要があります。

personal access tokenの作成

マネージド ユーザーを含む Enterprise のプロビジョニングを構成するには、セットアップ ユーザーに属する admin:enterprise スコープを持つpersonal access token (classic) が必要です。

警告: トークンの有効期限が切れた場合、またはプロビジョニングされたユーザーがトークンを作成すると、SCIM プロビジョニングが予期せず動作しなくなる可能性があります。 セットアップ ユーザーとしてサインインしているときにトークンを作成し、トークンの有効期限が [有効期限なし] に設定されていることを確認します。

  1. ユーザー名 @SHORT-CODE_admin を使用して、新しいエンタープライズのセットアップ ユーザーとして GitHub.com にサインインします。

  2. 任意のページで、右上隅にあるプロファイルの画像をクリックし、次に[設定]をクリックします。

    GitHub のアカウント メニューのスクリーンショット。ユーザーがプロファイル、コンテンツ、設定を表示および編集するためのオプションが表示されています。 メニュー項目 [設定] が濃いオレンジ色の枠線で囲まれています。

  3. 左側のサイドバーで [ 開発者設定] をクリックします。

  4. 左側のサイドバーで、 [Personal access token] をクリックします。

  5. [新しいトークンの生成] をクリックします。

  6. [メモ] で、トークンにわかりやすい名前を付けます。

  7. [有効期限] ドロップダウン メニューを選んでから、 [有効期限なし] をクリックします。

  8. [admin:enterprise] スコープを選択します。 チェックボックス付きのスコープのリストのスクリーンショット。 "admin:enterprise" スコープは、"Enterprise のフル コントロール" というテキストと共に選ばれ、オレンジ色のアウトラインで強調表示されています。

  9. [トークンの生成] をクリックします。

  10. トークンをクリップボードにコピーするには、 をクリックします。

    [Personal access tokens] ページのスクリーンショット。 ぼかしたトークンの横には、重なっている 2 つの正方形のアイコンがオレンジ色の枠線で囲まれています。

  11. 後で使用するためにトークンを保存するには、パスワード マネージャーに新しいトークンを安全に格納します。

Enterprise Managed Users のプロビジョニングの構成

personal access tokenを作成して安全に格納した後、ID プロバイダーでプロビジョニングを構成できます。

注: GitHub Enterprise Cloud のレート制限を超えないようにするには、IdP アプリケーションに 1 時間あたり 1,000 人を超えるユーザーを割り当てないでください。 グループを使って IdP アプリケーションにユーザーを割り当てる場合、1 時間あたり 1,000 人を超えるユーザーを各グループに追加しないでください。 これらのしきい値を超えると、ユーザーをプロビジョニングしようとすると、"レート制限" エラーが発生して失敗する可能性があります。 試した SCIM プロビジョニングまたはプッシュ操作がレート制限エラーに起因して失敗したかは IdP ログで確認できます。 プロビジョニング失敗に対する反応は IdP によって異なります。 詳しくは、「Enterprise のアイデンティティおよびアクセス管理のトラブルシューティング」を参照してください。

プロビジョニングを構成するには、次の表にある該当リンクに従います。

| ID プロバイダー | SSO メソッド | その他の情報 | |---|---|---| | Azure AD | OIDC | Azure AD ドキュメントの「チュートリアル: GitHub Enterprise Managed User (OIDC) を構成し、自動ユーザー プロビジョニングに対応させる」 | | Azure AD | SAML | Azure AD ドキュメントの「チュートリアル: GitHub Enterprise Managed User を構成し、自動ユーザー プロビジョニングに対応させる」 | | Okta | SAML | Enterprise Managed Users と Okta に合わせて SCIM プロビジョニングを構成する | | PingFederate (パブリック ベータ) | SAML | PingFederate のドキュメントの「プロビジョニングと SSO 用に PingFederate を構成する」および「チャネルの管理」 |

注: PingFederate のサポートは現在公開用ベータ版であり、変更される可能性があります。

メモ: Azure AD は、入れ子になったグループのプロビジョニングをサポートしていません。 詳細については、「Azure Active Directory でのアプリケーションのプロビジョニングのしくみ」をご覧ください。