Skip to main content

OrganizationのSCIMについて

System for Cross-domain Identity Management (SCIM) を使うと、管理者はユーザの識別情報のシステム間での交換を自動化できます。

OrganizationのSCIMについて

OrganizationがSAML SSOを使っているなら、OrganizationのメンバーのGitHub Enterprise Cloudへのアクセスの追加、管理、削除のためのSCIMを実装できます。 たとえば、管理者は Organization のメンバーのデプロビジョニングに SCIM を使い、自動的にメンバーを Organization から削除できます。

Note: To use SAML single sign-on, your organization must use GitHub Enterprise Cloud. For more information about how you can try GitHub Enterprise Cloud for free, see "Setting up a trial of GitHub Enterprise Cloud."

You cannot use this implementation of SCIM with an enterprise account or with an managed usersを持つOrganization. If your enterprise is enabled for Enterprise Managed Users, you must use a different implementation of SCIM. Otherwise, SCIM is not available at the enterprise level. For more information, see "Configuring SCIM provisioning for Enterprise Managed Users."

SCIM を実装せずに SAML SSO を使った場合、自動のプロビジョニング解除は行われません。 Organization のメンバーのアクセスが ldP から削除された後、セッションの有効期限が切れても、そのメンバーは Organization から自動的には削除されません。 認証済みのトークンにより、セッションが期限切れになった後も Organization へのアクセスが許可されます。 SCIMが使用されていないなら、メンバーのアクセスを完全に削除するためには、OrganizationのオーナーはメンバーのアクセスをIdPで削除し、手動でGitHub上のOrganizationからそのメンバーを削除しなければなりません。

If SCIM provisioning is implemented for your organization, any changes to a user's organization membership should be triggered from the identity provider. If a user is invited to an organization manually instead of by an existing SCIM integration, their user account may not get properly linked to their SCIM identity. This can prevent the user account from being deprovisioned via SCIM in the future. If a user is removed manually instead of by an existing SCIM integration, a stale linked identity will remain, which can lead to issues if the user needs to re-join the organization.

サポートされているアイデンティティプロバイダ

以下のアイデンティティプロバイダ(IdP)は、OrganizationのためのGitHub Enterprise Cloud SCIM APIと互換性があります。 詳しい情報についてはGitHub APIドキュメンテーション中のSCIMを参照してください。

  • Azure AD
  • Okta
  • OneLogin

OrganizationのためのSCIMの設定について

To use SCIM with your organization, you must use a third-party-owned OAuth App. The OAuth App must be authorized by, and subsequently acts on behalf of, a specific GitHub user. If the user who last authorized this OAuth App leaves or is removed from the organization, SCIM will stop working. To avoid this issue, we recommend creating a dedicated user account to configure SCIM. This user account must be an organization owner and will consume a license.

OAuth Appを認可する前に、アクティブなSAMLセッションを持っていなければなりません。 詳しい情報については「SAML シングルサインオンでの認証について」を参照してください。

注釈: SAML IdP および SCIM クライアントは、ユーザごとに一致する NameIDuserName の値を使用する必要があります。 これにより、SAML を介して認証するユーザを、プロビジョニングされた SCIM ID にリンクできます。

参考リンク