Organization の SCIM について
Organization で SAML SSO を使う場合は、SCIM を実装して、Organization メンバーの GitHub Enterprise Cloud へのアクセス権を追加、管理、削除できます。 たとえば、管理者は Organization のメンバーのデプロビジョニングに SCIM を使い、自動的にメンバーを Organization から削除できます。
注: SAML シングル サインオンを使うには、Organization で GitHub Enterprise Cloud を使用している必要があります。 GitHub Enterprise Cloud を無料で試す方法の詳細については、「GitHub Enterprise Cloud の試用版を設定する」を参照してください。
SCIM のこの実装は、エンタープライズ アカウントまたは マネージド ユーザーを含む Organization では使えません。 エンタープライズで Enterprise Managed Users が有効になっている場合、SCIM の別の実装を使う必要があります。 それ以外の場合、SCIM はエンタープライズレベルでは使えません。 詳しくは、「About SCIM for organizations」を参照してください。
SCIM を実装せずに SAML SSO を使用すると、自動プロビジョニング解除は行われません。 Organization メンバーのアクセス権が IdP から削除された後にセッションの有効期限が切れた場合、Organization から自動的に削除されることはありません。 認可済みのトークンにより、セッションが期限切れになった後でも Organization へのアクセス権が付与されます。 SCIM が使われていない場合、メンバーのアクセス権を完全に削除するには、Organization のオーナーが IdP 内のメンバーのアクセス権を削除し、GitHub で Organization からメンバーを手動で削除する必要があります。
SCIM プロビジョニングが組織に実装されている場合、ユーザーの組織メンバーシップに対する変更は ID プロバイダーが始める必要があります。 ユーザーが既存の SCIM 統合ではなく、手動で組織に招待された場合、ユーザー アカウントが SCIM ID に適切にリンクされない可能性があります。 これにより、将来、ユーザー アカウントが SCIM 経由でプロビジョニング解除されるのを防ぐことができます。 既存の SCIM 統合ではなくユーザーが手動で削除された場合、古いリンク ID が残り、ユーザーが組織に再参加する必要がある場合に問題が発生する可能性があります。
サポートされているアイデンティティプロバイダ
次の ID プロバイダー (IdP) は、Organization の GitHub Enterprise Cloud の SCIM API と互換性があります。 詳しくは、「SCIM の REST API エンドポイント」を参照してください。
- Microsoft Entra ID (旧称 Azure AD)
- Okta
- OneLogin
Organization の SCIM 構成について
組織で SCIM を使用するには、サードパーティ所有の OAuth app を使用する必要があります。 OAuth app では、特定の GitHub ユーザーによって承認される必要があり、その後は、そのユーザーに代わって動作します。 この OAuth app を最後に承認したユーザーが組織から離れるか、組織から削除された場合、SCIM は動作を停止します。 この問題を回避するために、SCIM を構成するための専用ユーザー アカウントを作成することをお勧めします。 このユーザー アカウントは組織の所有者である必要があり、ライセンスを使用します。
OAuth app を認証する前に、アクティブな SAML セッションが必要です。 詳しくは、「SAMLのシングルサインオンでの認証について」を参照してください。
Note
SAML IdP と SCIM クライアントでは、各ユーザーに同じ NameID
および userName
値を使用する必要があります。 これにより、SAML を介して認証するユーザを、プロビジョニングされた SCIM ID にリンクできます。