Enterprise Managed Users を使用すると、外部 ID 管理システム (IdP) から GitHub 上のユーザーのライフサイクルと認証を管理できます。
- IdP は、GitHub で Enterprise にアクセスできる新しいユーザー アカウントをプロビジョニングします。
- は、お客様の IdP の条件付きアクセス ポリシー (CAP) を使って、Enterprise とそのリソースへのアクセスを検証します。 「About support for your IdP's Conditional Access Policy」をご覧ください。
- マネージド ユーザー アカウント では、パブリック コンテンツを作成したり、企業外で共同作業を行ったりすることはできません。 「マネージド ユーザー アカウントの機能と制限」をご覧ください。
Note
Enterprise Managed Users は、すべての顧客に最適なソリューションではありません。 Enterprise に適しているかどうかを判断するには、「GitHub Enterprise Cloud の Enterprise の種類の選択」を参照してください。
ID 管理システム
GitHub は、ID 管理システムの一部の開発者と提携し、Enterprise Managed Users との "paved-path" 統合を提供します。 構成を簡略化して完全なサポートを確保するため、認証とプロビジョニングの両方に単一のパートナー IdP を使用します。
パートナー ID プロバイダー
パートナー IDP は、SAML または OIDC を使用して認証を提供し、クロスドメイン ID 管理システム (SCIM) を使用してプロビジョニングを提供します。
| パートナー IdP | SAML | OIDC | SCIM |
|---|---|---|---|
| Entra ID | |||
| Okta | |||
| PingFederate |
認証とプロビジョニングの両方に 1 つのパートナー IdP を使用するとき、GitHub は、パートナー IdP でアプリケーションにサポートに加え、GitHub で IdP の統合を提供します。
他の ID 管理システム
認証とプロビジョニングの両方に 1 つのパートナー IdP を使用できない場合、別の ID 管理システムまたはシステムの組み合わせを使用できます。 システムは次の手順を実行する必要があります。
- GitHub の統合ガイドラインに従う
- SAML 2.0 仕様に従って SAML を使用した認証を提供する
- SCIM を使用したユーザー ライフサイクル管理を提供し、SCIM 2.0 仕様に準拠し、GitHub の REST API と通信する (「REST API を使用した SCIM でユーザーとグループのプロビジョニング」を参照)
Note
GitHub のパブリック SCIM スキーマを使用したユーザーのプロビジョニングはパブリック ベータ版であり、変更される可能性があります。
GitHub は、認証とプロビジョニングのためにパートナー IdP の混在と一致を明示的にサポートしていません。また、すべての ID 管理システムをテストしていません。 GitHub のサポート チームは、混合または未テストのシステムに関連する問題を支援できない場合があります。 ヘルプが必要な場合は、システムのドキュメント、サポート チーム、またはその他のリソースを参照する必要があります。
ユーザー名とプロファイル情報
GitHub は、IdP から提供された識別子を正規化することにより、各開発者のユーザー名を自動的に作成します。 識別子の一意の部分が正規化中に削除されると、競合が発生する場合があります。 「外部認証のユーザー名に関する考慮事項」をご覧ください。
マネージド ユーザー アカウントのプロフィール名とメール アドレスは IdP によって提供されます。
- マネージド ユーザー アカウント は、GitHub 上のプロフィール名またはメール アドレスを変更_できません_。
- IdP は、1 つのメール アドレスのみを指定できます。
- IdP のユーザーのメール アドレスを変更すると、古いメール アドレスに関連付けられている投稿履歴からユーザーのリンクが解除されます。
ロールとアクセスの管理
IdP では、各 マネージド ユーザー アカウント に、メンバー、所有者、ゲスト コラボレーターなど、Enterprise 内のロールを付与できます。 「Enterprise におけるロール」をご覧ください。
Organization メンバーシップ (およびリポジトリ アクセス) は、手動で管理することも、IdP グループを使用して自動的に更新することもできます。 「ID プロバイダー グループを使用したチーム メンバーシップの管理」をご覧ください。
マネージド ユーザー アカウント の認証
マネージド ユーザー アカウント が GitHub に対して認証できる場所は、認証の構成方法 (SAML または OIDC) によって異なります。 「Enterprise Managed Users による認証」をご覧ください。
既定では、認証されていないユーザーがお客様の Enterprise にアクセスしようとすると、GitHub に 404 エラーが表示されます。 必要に応じて、代わりにシングル サインオン (SSO) への自動リダイレクトを有効にすることができます。 「Enterprise でセキュリティ設定のポリシーを適用する」をご覧ください。