Skip to main content

Organization の SCIM について

System for Cross-domain Identity Management (SCIM) を使うと、管理者はユーザの識別情報のシステム間での交換を自動化できます。

Organization の SCIM について

Organization で SAML SSO を使う場合は、SCIM を実装して、Organization メンバーの GitHub Enterprise Cloud へのアクセス権を追加、管理、削除できます。 たとえば、管理者は Organization のメンバーのデプロビジョニングに SCIM を使い、自動的にメンバーを Organization から削除できます。

注: SAML シングル サインオンを使うには、Organization で GitHub Enterprise Cloud を使用している必要があります。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。

You cannot use this implementation of SCIM with an enterprise account or with an organization with managed users. If your enterprise is enabled for Enterprise Managed Users, you must use a different implementation of SCIM. Otherwise, SCIM is not available at the enterprise level. For more information, see "Configuring SCIM provisioning for Enterprise Managed Users."

SCIM を実装せずに SAML SSO を使用すると、自動プロビジョニング解除は行われません。 Organization メンバーのアクセス権が IdP から削除された後にセッションの有効期限が切れた場合、Organization から自動的に削除されることはありません。 認可済みのトークンにより、セッションが期限切れになった後でも Organization へのアクセス権が付与されます。 SCIM が使わていない場合、メンバーのアクセス権を完全に削除するには、Organization のオーナーが IdP 内のメンバーのアクセス権を削除し、GitHub で Organization からメンバーを手動で削除する必要があります。

SCIM プロビジョニングが組織に実装されている場合、ユーザーの組織メンバーシップに対する変更は ID プロバイダーが始める必要があります。 ユーザーが既存の SCIM 統合ではなく、手動で組織に招待された場合、ユーザー アカウントが SCIM ID に適切にリンクされない可能性があります。 これにより、将来、ユーザー アカウントが SCIM 経由でプロビジョニング解除されるのを防ぐことができます。 既存の SCIM 統合ではなくユーザーが手動で削除された場合、古いリンク ID が残り、ユーザーが組織に再参加する必要がある場合に問題が発生する可能性があります。

サポートされているアイデンティティプロバイダ

次の ID プロバイダー (IdP) は、Organization の GitHub Enterprise Cloud の SCIM API と互換性があります。 詳しい情報については、GitHub API ドキュメントの「SCIM」を参照してください。

  • Azure AD
  • Okta
  • OneLogin

Organization の SCIM 構成について

組織で SCIM を使用するには、サードパーティ所有の OAuth App を使用する必要があります。 OAuth App では、特定の GitHub ユーザーによって承認される必要があり、その後は、そのユーザーに代わって動作します。 この OAuth App を最後に承認したユーザーが組織から離れるか、組織から削除された場合、SCIM は動作を停止します。 この問題を回避するために、SCIM を構成するための専用ユーザー アカウントを作成することをお勧めします。 このユーザー アカウントは組織の所有者である必要があり、ライセンスを使用します。

OAuth App を認証する前に、アクティブな SAML セッションが必要です。 詳細については、「SAML のシングル サインオンでの認証について」を参照してください。

注: SAML IdP と SCIM クライアントでは、各ユーザーに同じ NameID および userName 値を使用する必要があります。 これにより、SAML を介して認証するユーザを、プロビジョニングされた SCIM ID にリンクできます。

参考資料