Skip to main content

Okta でのエンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成

ID プロバイダーとして Okta を使って、新しいユーザーをプロビジョニングし、エンタープライズとチームのメンバーシップを管理することができます。

ID プロバイダーを使用して企業内のユーザーを管理するには、GitHub Enterprise Cloud で利用可能な Enterprise Managed Users が企業で有効になっている必要があります。 詳細については、「Enterprise Managed Users について」を参照してください。

Okta でのプロビジョニングについて

ID プロバイダーとして Okta と共に Enterprise Managed Users を使用して、新しいアカウントのプロビジョニング、エンタープライズ メンバーシップの管理、エンタープライズ内の組織のチーム メンバーシップの管理を行うことができます。 Enterprise Managed Users のプロビジョニングの詳細については、「エンタープライズ マネージド ユーザーの SCIM プロビジョニングの構成」を参照してください。

Okta でプロビジョニングを構成する前に、SAML シングル サインオンを構成する必要があります。 詳細については、「エンタープライズ マネージド ユーザーの SAML シングル サインオンの構成」を参照してください。

Okta でプロビジョニングを構成するには、GitHub Enterprise Managed User アプリケーションで Enterprise の名前を設定し、セットアップ ユーザーのpersonal access tokenを入力する必要があります。 その後、Okta でユーザーのプロビジョニングを開始できます。

サポートされている機能

Enterprise Managed Users では、Okta の多くのプロビジョニング機能をサポートしています。

機能説明
新しいユーザのプッシュOkta の GitHub Enterprise Managed User アプリケーションに割り当てられているユーザーは、GitHub Enterprise Cloud 上のエンタープライズで自動的に作成されます。
プロファイルの更新をプッシュするOkta でユーザーのプロファイルに対して行われた更新は、GitHub Enterprise Cloud にプッシュされます。
プッシュ グループプッシュ グループとして GitHub Enterprise Managed User アプリケーションに割り当てられている Okta のグループは、GitHub Enterprise Cloud 上のエンタープライズで自動的に作成されます。
ユーザ無効化のプッシュOkta の GitHub Enterprise Managed User アプリケーションからユーザーの割り当てを解除すると、GitHub Enterprise Cloud のユーザーが無効になります。 ユーザーはサインインできませんが、ユーザーの情報は保持されます。
ユーザの再アクティブ化Okta アカウントが再アクティブ化され、GitHub Enterprise Managed User アプリケーションに再度割り当てられた Okta のユーザーが有効になります。

注: Enterprise Managed Users は、ユーザー名の変更をサポートしていません。

エンタープライズ名の設定

enterprise with managed users が作成されたら、Okta で Enterprise 名を設定してプロビジョニングの構成を開始できます。

  1. Okta の GitHub Enterprise Managed User アプリケーションに移動します。
  2. [サインオン] タブをクリックします。
  3. 変更するには、 [編集] をクリックします。
  4. [Advanced Sign-on Settings](詳細なサインオン設定) の [エンタープライズ名] テキスト ボックスに、エンタープライズ名を入力します。 たとえば、https://github.com/enterprises/octoinc でエンタープライズにアクセスする場合、エンタープライズ名は "octoinc" になります。 Okta の [エンタープライズ名] フィールドのスクリーンショット
  5. エンタープライズ名を保存するには、 [保存] をクリックします。

プロビジョニングの構成

エンタープライズ名を設定したら、プロビジョニング設定の構成に進むことができます。

プロビジョニングを構成するには、 @SHORT-CODE_admin ユーザー名を持つセットアップ ユーザーは、admin:enterprise スコープでpersonal access token (classic)を指定する必要があります。 新しいトークンの作成について詳しくは、「personal access tokenの作成」を参照してください。

  1. Okta の GitHub Enterprise Managed User アプリケーションに移動します。
  2. [プロビジョニング] タブをクリックします。
  3. [設定] メニューで、 [統合] をクリックします。
  4. 変更するには、 [編集] をクリックします。
  5. [Enable API integration](API 統合を有効にする) を選択します。
  6. [API トークン] フィールドに、セットアップ ユーザーに属する admin:enterprise スコープを使って、personal access token (classic) を入力します。 Okta の [API トークン] フィールドを示すスクリーンショット
  7. [Test API Credentials](API 資格情報のテスト) をクリックします。 テストが成功すると、確認メッセージが画面の上部に表示されます。
  8. トークンを保存するには、 [保存] をクリックします。
  9. [設定] メニューで [To App](アプリへ) をクリックします。 Okta の [To App](アプリへ) メニュー項目を示すスクリーンショット
  10. [Provisioning to App](アプリへのプロビジョニング) の右側で、変更を許可するには、 [編集] をクリックします。
  11. [ユーザーの作成][Update User Attributes](ユーザー属性の更新) 、および [ユーザーの非アクティブ化][有効化] を選択します。 Okta のプロビジョニング オプションを示すスクリーンショット
  12. プロビジョニングの構成を完了するには、 [保存] をクリックします。

ユーザーとグループの割り当て

SAML SSO とプロビジョニングを構成したら、GitHub Enterprise Managed User アプリケーションにユーザーまたはグループを割り当てることで、GitHub.com に新しいユーザーをプロビジョニングできるようになります。

注: GitHub Enterprise Cloud のレート制限を超えないようにするには、IdP アプリケーションに 1 時間あたり 1,000 人を超えるユーザーを割り当てないでください。 グループを使用して IdP アプリケーションにユーザーを割り当てる場合、1 時間あたり 100 人を超えるユーザーを各グループに追加しないでください。 これらのしきい値を超えると、ユーザーをプロビジョニングしようとすると、"レート制限" エラーが発生して失敗する可能性があります。

また、Okta の [プッシュ グループ] タブにグループを追加することで、Organization のメンバーシップを自動的に管理することもできます。 グループが正常にプロビジョニングされると、エンタープライズの組織のチームに接続できるようになります。 チームの管理の詳細については、「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

ユーザーを割り当てるときは、GitHub Enterprise Managed User アプリケーションの [ロール] 属性を使用して、エンタープライズのユーザーのロールを GitHub Enterprise Cloud で設定できます。 ロールの詳細については、「エンタープライズでのロール」を参照してください。

Okta でプロビジョニングされたユーザーのロール オプションを示すスクリーンショット

ユーザーとグループのプロビジョニング解除

GitHub Enterprise Cloud からユーザーまたはグループを削除するには、Okta の [割り当て] タブと [プッシュ グループ] タブの両方からユーザーまたはグループを削除します。 ユーザーの場合は、[プッシュ グループ] タブのすべてのグループからユーザーが削除されていることを確認してください。