SCIM の REST API エンドポイント
REST API を使用して、SCIM を使用してGitHub組織メンバーのアクセスを制御および管理します。
メモ
この操作により、SCIM を使って GitHub Enterprise Cloud 上の organization へのアクセスをプロビジョニングできます。 この操作は、Enterprise Managed Users では使用できません。 SCIM を使った マネージド ユーザー アカウント のプロビジョニングの詳細については、「SCIM の REST API エンドポイント」を参照してください。
SCIM について
組織向けSCIMプロビジョニング
これらのエンドポイントは、SCIM 対応 ID プロバイダー (IdP) によって組織メンバーシップのプロビジョニング GitHub 自動化するために使用され、 SCIM 標準のバージョン 2.0 に基づいています。 IdPは、https://api.github.com/scim/v2/organizations/{org}/ SCIM エンドポイントのベース URL を使用する必要があります。
メモ
- これらのエンドポイントは、SAML SSO が有効になっている GitHub Enterprise Cloud を使用する個々の組織でのみ使用できます。 SCIM の詳細については、「組織におけるSCIMについて」を参照してください。 SAML SSO organization のトークンの認可の詳細については、「REST API に対する認証」を参照してください。
- これらのエンドポイントは、エンタープライズ アカウントまたは マネージド ユーザーを含む組織では使用できません。
認証
これらのエンドポイントを使用するには、 GitHub 組織の所有者として認証する必要があります。 REST API では、OAuth 2.0 ベアラー トークン ( GitHub App ユーザー アクセス トークンなど) が Authorization ヘッダーに含まれることを想定しています。 認証に personal access token (classic) を使用する場合は、 admin:org スコープが必要であり、 SAML SSO 組織で使用することを承認する必要もあります。
SAML 属性と SCIM 属性の一致
GitHubユーザー アカウントを組織内の SCIM ID に正常にリンクするには、ID プロバイダーの SAML 応答と SCIM API プロビジョニング呼び出しの特定の属性がユーザーに対して一致する必要があります。
SAML の Microsoft Entra ID
SAML に Entra ID (旧称 Azure AD) を使用する場合は、次の SAML 属性と SCIM 属性が一致する必要があります。
| SAML 属性 | 一致するSCIM属性 |
|---|---|
http://schemas.microsoft.com/identity/claims/objectidentifier | externalId |
SAML 用のその他の IdP
SAML に他の IdP を使う場合は、次の SAML 要求と SCIM 属性が一致する必要があります。
| SAML 属性 | 一致するSCIM属性 |
|---|---|
NameID | userName |
これらの SAML/SCIM 属性が一致する場合、 GitHub ユーザー アカウントが組織内の SCIM ID にリンクされる方法は 2 つあります。
-
まだ organization のメンバーではないユーザーの場合:
- IdP は、組織のメンバーではないユーザーの GitHub に SCIM プロビジョニング呼び出しを送信します。 これにより、組織の招待とリンクされていない SCIM アイデンティティが組織内に生成されます。
- ユーザーは organization 内の SAML を介して認証されます。
-
GitHub は、SAML ID と SCIM ID を組織内の新しいユーザー アカウントに自動的にリンクします。
-
既存の組織メンバーの場合:
- IdP は、既に組織のメンバーであるユーザーの GitHub に SCIM プロビジョニング呼び出しを送信します。
- organization 内でリンクされた SAML ID を持っていない organization メンバーには、organization への招待と、organization 内でのリンクされていない SCIM ID が生成されます。 ユーザーは organization 内の SAML 経由で認証を行い、SAML および SCIM ID をリンクします。
- 組織のメンバーに組織内のリンクされた SAML ID がある場合、 GitHub は SCIM ID を組織内の既存のユーザー アカウントに自動的にリンクします。 組織への招待は作成されていません。
ユーザーが organization 内の SCIM ID に適切にリンクされるように確保することで、アプリに対するユーザーのアクセス権が IdP 側で削除されたときに、SCIM のプロビジョニング解除に関する予期しない issue が発生するのを防ぐことができます。 Organization 内のリンクされた SCIM ID の監査の詳細については、「組織の ID とアクセス管理のトラブルシューティング」を参照してください
サポートされている SCIM ユーザ属性
| 名前 | タイプ | 説明 |
|---|---|---|
userName | string | ユーザのユーザ名。 |
name.givenName | string | ユーザーの名。 |
name.familyName | string | ユーザーの姓。 |
emails | array | ユーザのメール一覧。 |
externalId | string | この識別子は SAML プロバイダーによって生成され、GitHub ユーザーと照合するために SAML プロバイダーによって一意の ID として使用されます。 ユーザーのexternalIDは、SAML プロバイダーで見つけることができます。または、LIST SCIM プロビジョニング ID エンドポイントを使用して、ユーザーのGitHubユーザー名や電子メール アドレスなどの他の既知の属性をフィルター処理できます。 |
id | string | GitHub SCIM エンドポイントによって生成される識別子。 |
active | boolean | ID がアクティブである(true)か、プロビジョニングを解除する必要がある(false)かを示すために使用する。 |
メモ
これらのエンドポイントでは、大文字と小文字を区別します。 たとえば、Users エンドポイントの最初の文字は大文字にする必要があります。
GET /scim/v2/organizations/{org}/Users/{scim_user_id}
List SCIM provisioned identities
Retrieves a paginated list of all provisioned organization members, including pending invitations. If you provide the filter parameter, the resources for all matching provisions members are returned.
The returned list of SCIM provisioned identities from the GitHub Enterprise Cloud might not always match the organization or enterprise member list. Here is why that can occur:
- When an organization invitation is generated by a SCIM integration, this creates an unlinked SCIM identity in the organization. When a user logs into their GitHub user account, visits the organization, and successfully authenticates via SAML, they get added as an organization member and linked to their SAML/SCIM identity in the organization. If the user does not do this, the SCIM identity will remain in the organization, not linked to any organization member.
- A user's organization membership (inviting and removing a user to/from the organization) should only be managed by a SCIM integration when this is configured for a GitHub organization. If a GitHub user who has a linked SCIM identity is removed from the organization using the GitHub UI or non-SCIM API, as opposed to the SCIM integration, this can leave behind a stale SAML/SCIM identity in the organization for the user.
"List SCIM provisioned identities" のきめ細かいアクセス トークン
このエンドポイントは、次の粒度の細かいトークンの種類で動作します:
粒度の細かいトークンには次のアクセス許可セットが設定されている必要があります:
- "Members" organization permissions (read)
"List SCIM provisioned identities" のパラメーター
| 名前, タイプ, 説明 |
|---|
accept string Setting to |
| 名前, タイプ, 説明 |
|---|
org string 必須The organization name. The name is not case sensitive. |
| 名前, タイプ, 説明 |
|---|
startIndex integer Used for pagination: the index of the first result to return. |
count integer Used for pagination: the number of results to return. |
filter string Filters results using the equals query parameter operator (
To filter results for the identity with the email
|
"List SCIM provisioned identities" の HTTP 応答状態コード
| 状態コード | 説明 |
|---|---|
200 | OK |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
429 | Too many requests |
"List SCIM provisioned identities" のコード サンプル
GHE.com でGitHubにアクセスする場合は、api.github.com を、api.SUBDOMAIN.ghe.com にある企業の専用サブドメインに置き換えます。
リクエスト例
curl -L \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2026-03-10" \
https://api.github.com/scim/v2/organizations/ORG/UsersResponse with filter
Status: 200{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:ListResponse"
],
"totalResults": 1,
"itemsPerPage": 1,
"startIndex": 1,
"Resources": [
{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "5fc0c238-1112-11e8-8e45-920c87bdbd75",
"externalId": "00u1dhhb1fkIGP7RL1d8",
"userName": "octocat@github.com",
"displayName": "Mona Octocat",
"name": {
"givenName": "Mona",
"familyName": "Octocat",
"formatted": "Mona Octocat"
},
"emails": [
{
"value": "octocat@github.com",
"primary": true
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2018-02-13T15:05:24.000-08:00",
"lastModified": "2018-02-13T15:05:55.000-08:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/5fc0c238-1112-11e8-8e45-920c87bdbd75"
}
}
]
}Provision and invite a SCIM user
Provisions organization membership for a user, and sends an activation email to the email address. If the user was previously a member of the organization, the invitation will reinstate any former privileges that the user had. For more information about reinstating former members, see "Reinstating a former member of your organization."
"Provision and invite a SCIM user" のきめ細かいアクセス トークン
このエンドポイントは、次の粒度の細かいトークンの種類で動作します:
粒度の細かいトークンには次のアクセス許可セットが設定されている必要があります:
- "Members" organization permissions (write)
"Provision and invite a SCIM user" のパラメーター
| 名前, タイプ, 説明 |
|---|
accept string Setting to |
| 名前, タイプ, 説明 |
|---|
org string 必須The organization name. The name is not case sensitive. |
| 名前, タイプ, 説明 | ||||
|---|---|---|---|---|
userName string 必須Configured by the admin. Could be an email, login, or username | ||||
displayName string The name of the user, suitable for display to end-users | ||||
name object 必須 | ||||
Properties of |
| 名前, タイプ, 説明 |
|---|
givenName string 必須 |
familyName string 必須 |
formatted string |
emails array of objects 必須user emails
Properties of emails
| 名前, タイプ, 説明 |
|---|
value string 必須 |
primary boolean |
type string |
schemas array of strings externalId string groups array of strings active boolean "Provision and invite a SCIM user" の HTTP 応答状態コード
| 状態コード | 説明 |
|---|---|
201 | Created |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
409 | Conflict |
500 | Internal server error |
"Provision and invite a SCIM user" のコード サンプル
GHE.com でGitHubにアクセスする場合は、api.github.com を、api.SUBDOMAIN.ghe.com にある企業の専用サブドメインに置き換えます。
要求の例
curl -L \
-X POST \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2026-03-10" \
https://api.github.com/scim/v2/organizations/ORG/Users \
-d '{"userName":"mona.octocat@okta.example.com","externalId":"a7d0f98382","name":{"givenName":"Monalisa","familyName":"Octocat","formatted":"Monalisa Octocat"},"emails":[{"value":"mona.octocat@okta.example.com","primary":true},{"value":"monalisa@octocat.github.com"}]}'Response
Status: 201{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}Get SCIM provisioning information for a user
Gets SCIM provisioning information for a user.
"Get SCIM provisioning information for a user" のきめ細かいアクセス トークン
このエンドポイントは、次の粒度の細かいトークンの種類で動作します:
粒度の細かいトークンには次のアクセス許可セットが設定されている必要があります:
- "Members" organization permissions (read)
"Get SCIM provisioning information for a user" のパラメーター
| 名前, タイプ, 説明 |
|---|
accept string Setting to |
| 名前, タイプ, 説明 |
|---|
org string 必須The organization name. The name is not case sensitive. |
scim_user_id string 必須The unique identifier of the SCIM user. |
"Get SCIM provisioning information for a user" の HTTP 応答状態コード
| 状態コード | 説明 |
|---|---|
200 | OK |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
"Get SCIM provisioning information for a user" のコード サンプル
GHE.com でGitHubにアクセスする場合は、api.github.com を、api.SUBDOMAIN.ghe.com にある企業の専用サブドメインに置き換えます。
要求の例
curl -L \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2026-03-10" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_IDResponse
Status: 200{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}Update a provisioned organization membership
Replaces an existing provisioned user's information. You must provide all the information required for the user as if you were provisioning them for the first time. Any existing user information that you don't provide will be removed. If you want to only update a specific attribute, use the Update an attribute for a SCIM user endpoint instead.
You must at least provide the required values for the user: userName, name, and emails.
Warning
Setting active: false removes the user from the organization, deletes the external identity, and deletes the associated {scim_user_id}.
"Update a provisioned organization membership" のきめ細かいアクセス トークン
このエンドポイントは、次の粒度の細かいトークンの種類で動作します:
粒度の細かいトークンには次のアクセス許可セットが設定されている必要があります:
- "Members" organization permissions (write)
"Update a provisioned organization membership" のパラメーター
| 名前, タイプ, 説明 |
|---|
accept string Setting to |
| 名前, タイプ, 説明 |
|---|
org string 必須The organization name. The name is not case sensitive. |
scim_user_id string 必須The unique identifier of the SCIM user. |
| 名前, タイプ, 説明 | ||||
|---|---|---|---|---|
schemas array of strings | ||||
displayName string The name of the user, suitable for display to end-users | ||||
externalId string | ||||
groups array of strings | ||||
active boolean | ||||
userName string 必須Configured by the admin. Could be an email, login, or username | ||||
name object 必須 | ||||
Properties of |
| 名前, タイプ, 説明 |
|---|
givenName string 必須 |
familyName string 必須 |
formatted string |
emails array of objects 必須user emails
Properties of emails
| 名前, タイプ, 説明 |
|---|
type string |
value string 必須 |
primary boolean |
"Update a provisioned organization membership" の HTTP 応答状態コード
| 状態コード | 説明 |
|---|---|
200 | OK |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
"Update a provisioned organization membership" のコード サンプル
GHE.com でGitHubにアクセスする場合は、api.github.com を、api.SUBDOMAIN.ghe.com にある企業の専用サブドメインに置き換えます。
要求の例
curl -L \
-X PUT \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2026-03-10" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \
-d '{"userName":"mona.octocat@okta.example.com","externalId":"a7d0f98382","name":{"givenName":"Monalisa","familyName":"Octocat","formatted":"Monalisa Octocat"},"emails":[{"value":"mona.octocat@okta.example.com","primary":true}]}'Response
Status: 200{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}Update an attribute for a SCIM user
Allows you to change a provisioned user's individual attributes. To change a user's values, you must provide a specific Operations JSON format that contains at least one of the add, remove, or replace operations. For examples and more information on the SCIM operations format, see the SCIM specification.
Note
Complicated SCIM path selectors that include filters are not supported. For example, a path selector defined as "path": "emails[type eq \"work\"]" will not work.
Warning
If you set active:false using the replace operation (as shown in the JSON example below), it removes the user from the organization, deletes the external identity, and deletes the associated :scim_user_id.
{
"Operations":[{
"op":"replace",
"value":{
"active":false
}
}]
}
"Update an attribute for a SCIM user" のきめ細かいアクセス トークン
このエンドポイントは、次の粒度の細かいトークンの種類で動作します:
粒度の細かいトークンには次のアクセス許可セットが設定されている必要があります:
- "Members" organization permissions (write)
"Update an attribute for a SCIM user" のパラメーター
| 名前, タイプ, 説明 |
|---|
accept string Setting to |
| 名前, タイプ, 説明 |
|---|
org string 必須The organization name. The name is not case sensitive. |
scim_user_id string 必須The unique identifier of the SCIM user. |
| 名前, タイプ, 説明 | ||||
|---|---|---|---|---|
schemas array of strings | ||||
Operations array of objects 必須Set of operations to be performed | ||||
Properties of |
| 名前, タイプ, 説明 |
|---|
op string 必須次のいずれかにできます: |
path string |
value object or array or string |
"Update an attribute for a SCIM user" の HTTP 応答状態コード
| 状態コード | 説明 |
|---|---|
200 | OK |
304 | Not modified |
400 | Bad request |
403 | Forbidden |
404 | Resource not found |
429 | Too Many Requests |
"Update an attribute for a SCIM user" のコード サンプル
GHE.com でGitHubにアクセスする場合は、api.github.com を、api.SUBDOMAIN.ghe.com にある企業の専用サブドメインに置き換えます。
要求の例
curl -L \
-X PATCH \
-H "Accept: application/scim+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2026-03-10" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_ID \
-d '{"Operations":[{"op":"replace","value":{"displayName":"Octocat"}}]}'Response
Status: 200{
"schemas": [
"urn:ietf:params:scim:schemas:core:2.0:User"
],
"id": "edefdfedf-050c-11e7-8d32",
"externalId": "a7d0f98382",
"userName": "mona.octocat@okta.example.com",
"displayName": "Monalisa Octocat",
"name": {
"givenName": "Monalisa",
"familyName": "Octocat",
"formatted": "Monalisa Octocat"
},
"emails": [
{
"value": "mona.octocat@okta.example.com",
"primary": true
},
{
"value": "monalisa@octocat.github.com"
}
],
"active": true,
"meta": {
"resourceType": "User",
"created": "2017-03-09T16:11:13-05:00",
"lastModified": "2017-03-09T16:11:13-05:00",
"location": "https://api.github.com/scim/v2/organizations/octo-org/Users/edefdfedf-050c-11e7-8d32"
}
}Delete a SCIM user from an organization
Deletes a SCIM user from an organization.
"Delete a SCIM user from an organization" のきめ細かいアクセス トークン
このエンドポイントは、次の粒度の細かいトークンの種類で動作します:
粒度の細かいトークンには次のアクセス許可セットが設定されている必要があります:
- "Members" organization permissions (write)
"Delete a SCIM user from an organization" のパラメーター
| 名前, タイプ, 説明 |
|---|
accept string Setting to |
| 名前, タイプ, 説明 |
|---|
org string 必須The organization name. The name is not case sensitive. |
scim_user_id string 必須The unique identifier of the SCIM user. |
"Delete a SCIM user from an organization" の HTTP 応答状態コード
| 状態コード | 説明 |
|---|---|
204 | No Content |
304 | Not modified |
403 | Forbidden |
404 | Resource not found |
"Delete a SCIM user from an organization" のコード サンプル
GHE.com でGitHubにアクセスする場合は、api.github.com を、api.SUBDOMAIN.ghe.com にある企業の専用サブドメインに置き換えます。
要求の例
curl -L \
-X DELETE \
-H "Accept: application/vnd.github+json" \
-H "Authorization: Bearer <YOUR-TOKEN>" \
-H "X-GitHub-Api-Version: 2026-03-10" \
https://api.github.com/scim/v2/organizations/ORG/Users/SCIM_USER_IDResponse
Status: 204