Enterprise 向けのユーザプロビジョニングを設定する

System for Cross-domain Identity Management (SCIM) のシステムを設定できます。これにより、your enterprise のアプリケーションをアイデンティティプロバイダ (IdP) 上のユーザに割り当てると、your enterprise のユーザアカウントが自動的にプロビジョニングされます。

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

SAMLシングルサインオンは、GitHub Enterprise Cloud及びGitHub AEで利用できます。 詳しい情報については「GitHubの製品」を参照してください。

Enterprise 向けのユーザプロビジョニングについて

GitHub AEは、ユーザ認証にSAML SSOを使用します。 GitHub AEへのアクセスは、SAML 2.0標準をサポートするIdPから集中管理できます。詳しい情報については、「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。

デフォルトでは、アプリケーションを割り当てあるいは割り当て解除したときに、IdPはGitHub AEと自動的に通信はしません。 GitHub AEは、誰かが初めてIdPを通じて認証を受けてGitHub AEにアクセスし、サインインした時に、SAML Just-in-Time (JIT)プロビジョニングを使用して ユーザアカウントを作成します。 GitHub AEへのアクセスを許可した際には、ユーザに手動で通知する必要があるかもしれません。そしてオフボーディングの間には、手動でGitHub AE上のユーザアカウントの無効化をしなければなりません。 IdP上でアプリケーションを割り当てもしくは割り当て解除する際には、SCIMを使って自動的にGitHub AEのユーザアカウントとアクセスをプロビジョニング及びプロビジョニング解除できます。 SCIM の詳細については、IETF Web サイトの「System for Cross-domain Identity Management: Protocol (RFC 7644)」を参照してください。

プロビジョニングを設定すると、GitHub AE のアプリケーションを IdP のユーザに割り当てたり、割り当て解除したりするときに、IdP が your enterprise と通信できるようになります。 アプリケーションを割り当てると、IdP は your enterprise にアカウントを作成し、オンボーディングメールをユーザに送信するように求めます。 アプリケーションの割り当てを解除すると、IdP は GitHub AE と通信して、SAML セッションを無効にし、メンバーのアカウントを無効にします。

Enterprise のプロビジョニングを設定するには、GitHub AE でプロビジョニングを有効にしてから、IdP にプロビジョニングアプリケーションをインストールして設定する必要があります。

IdP のプロビジョニングアプリケーションは、Enterprise 向けの SCIM API を介して GitHub AE と通信します。 詳しい情報については、GitHub REST API ドキュメントの「GitHub Enterprise の管理」を参照してください。

サポートされているアイデンティティプロバイダ

以下のIdPは、SCIMを使ってyour enterprise上のユーザアカウントのプロビジョニングあるいはプロビジョニング解除ができます。

  • Azure AD

サポートされている IdP を使用してユーザプロビジョニングを設定する場合、GitHub AE のアプリケーションをユーザのグループに割り当てたり、割り当てを解除したりすることもできます。 これらのグループは、your enterprise の Organization のオーナーとチームメンテナが GitHub AE Team にマッピングできるようになります。 詳しい情報については「アイデンティティプロバイダグループとTeamの同期」を参照してください。

必要な環境

IdP から your enterprise へのアクセスを自動的にプロビジョニングおよびプロビジョニング解除するには、GitHub AE を初期化するときに最初に SAML SSO を設定する必要があります。 詳しい情報については、「GitHub AE を初期化する」を参照してください。

GitHub AE のユーザプロビジョニング用にアプリケーションを設定するには、IdP の管理アクセス権が必要です。

Enterprise 向けのユーザプロビジョニングを有効化する

  1. While signed into your enterprise as an enterprise owner, create a personal access token with admin:enterprise scope. 詳しい情報については、「個人アクセストークンを作成する」を参照してください。

    設定ファイルでクエリスイートを指定すると、CodeQL 分析エンジンは、デフォルトのクエリセットに加えて、スイートに含まれるクエリを実行します。

    • 個人アクセストークンを作成するには、初期化中に作成した最初の Enterprise オーナーのアカウントを使用することをお勧めします。 詳しい情報については、「GitHub AE を初期化する」を参照してください。
    • IdP で SCIM 用にアプリケーションを設定するには、この個人アクセストークンが必要です。 手順の後半でトークンが再び必要になるまで、トークンをパスワードマネージャーに安全に保管してください。

    警告: 個人アクセストークンを作成する Enterprise オーナーのユーザーアカウントが非アクティブ化またはプロビジョニング解除された場合、IdP は Enterprise のユーザアカウントを自動的にプロビジョニングおよびプロビジョニング解除しません。 別の Enterprise オーナーは、新しい個人アクセストークンを作成し、IdP でプロビジョニングを再設定する必要があります。

  2. GitHub AEの右上で、プロフィール写真をクリックし、続いてEnterprise settings(Enterpriseの設定)をクリックしてください。 GitHub AEのプロフィール写真のドロップダウンメニュー内の"Enterprise settings"

  3. Enterpriseアカウントのサイドバーで、 Settings(設定)をクリックしてください。 Enterpriseアカウントサイドバー内の設定タブ

  4. 左のサイドバーでSecurity(セキュリティ)をクリックしてください。 Security tab in the enterprise account settings sidebar

  5. [SCIM User Provisioning] で、[Require SCIM user provisioning] を選択します。 Enterprise セキュリティ設定内の [Require SCIM user provisioning] のチェックボックス

  6. [Save] をクリックします。 Enterprise セキュリティ設定内の [Require SCIM user provisioning] の下にある [Save] ボタン

  7. IdP の GitHub AE のアプリケーションでユーザプロビジョニングを設定します。

    次の IdP では、GitHub AE のプロビジョニングの設定に関するドキュメントを提供しています。 IdP がリストにない場合は、IdP に問い合わせて、GitHub AE のサポートをご依頼ください。

    IdP詳細情報
    Azure ADMicrosoft Docs の「チュートリアル: 自動ユーザプロビジョニング用に GitHub AE を設定する

    IdP のアプリケーションでは、your enterprise でユーザアカウントをプロビジョニングまたはプロビジョニング解除するために 2 つの値が必要です。

    別名説明サンプル
    URLテナント URLGitHub AE にある Enterprise の SCIM プロビジョニング API への URLhttps://<em>[hostname]</em>/api/v3/scim/v2</nobr>
    共有シークレット個人アクセストークン、シークレットトークンEnterprise オーナーに代わってプロビジョニングタスクを実行するための IdP 上のアプリケーションのトークンステップ 1 で作成した個人アクセストークン

このドキュメントは役立ちましたか?

プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?