Skip to main content

Enterprise 向けのユーザプロビジョニングを設定する

System for Cross-domain Identity Management (SCIM) のシステムを設定できます。これにより、your enterprise のアプリケーションをアイデンティティプロバイダ (IdP) 上のユーザに割り当てると、your enterprise のユーザアカウントが自動的にプロビジョニングされます。

Who can use this feature

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

Enterprise 向けのユーザプロビジョニングについて

GitHub AEは、ユーザ認証にSAML SSOを使用します。 GitHub AEへのアクセスは、SAML 2.0標準をサポートするIdPから集中管理できます。 詳細については、「Enterprise 向けの SAML シングルサインオンを設定する」を参照してください。

SCIM を使ってユーザー プロビジョニングを構成することで、IdP に対してアプリケーションの割り当てまたは割り当て解除を行うときに、ユーザー アカウントを自動的に作成または一時停止し、GitHub AE のアクセスを付与することができます。 SCIM の詳細については、IETF の Web サイトの「クロスドメインの ID 管理用システム: プロトコル (RFC 7644)」を参照してください。

SCIM を使ったユーザー プロビジョニングを構成しない場合、アプリケーションをユーザーに割り当てるとき、または割り当てを解除するときに、IdP は GitHub AE と自動的に通信しません。 SCIM を使わない場合、誰かが初めて GitHub AE に移動し、あなたの IdP を使って認証してサインインしたときに、GitHub AE により、SAML Just-in-Time (JIT) プロビジョニングを使ってユーザー アカウントが作成されます。

プロビジョニングを設定すると、GitHub AE のアプリケーションを IdP のユーザに割り当てたり、割り当て解除したりするときに、IdP が your enterprise と通信できるようになります。 アプリケーションを割り当てると、IdP は your enterprise にアカウントを作成し、オンボーディングメールをユーザに送信するように求めます。 アプリケーションの割り当てを解除すると、IdP は GitHub AE と通信して、SAML セッションを無効にし、メンバーのアカウントを無効にします。

Enterprise のプロビジョニングを設定するには、GitHub AE でプロビジョニングを有効にしてから、IdP にプロビジョニングアプリケーションをインストールして設定する必要があります。

IdP のプロビジョニングアプリケーションは、Enterprise 向けの SCIM API を介して GitHub AE と通信します。 詳細については、GitHub REST API ドキュメントの「GitHub Enterprise の管理」を参照してください。

サポートされているアイデンティティプロバイダ

次の IdP は、GitHub AE を使う SSO をサポートしています。

注: Okta に対する GitHub AE シングル サインオン (SSO) のサポートは、現在ベータ版です。

IdPSAMLユーザー プロビジョニングTeam マッピング
Azure Active Directory (Azure AD)
Oktaベータ版ベータ版ベータ版

チーム マッピングをサポートする IdP の場合、IdP 内のユーザーのグループに GitHub AE のアプリケーションを割り当てるか、割り当てを解除できます。 これらのグループは、your enterprise の Organization のオーナーとチームメンテナが GitHub AE Team にマッピングできるようになります。 詳細については、Okta グループのチームへのマッピングに関する記事を参照してください。

前提条件

IdP から your enterprise へのアクセスを自動的にプロビジョニングおよびプロビジョニング解除するには、GitHub AE を初期化するときに最初に SAML SSO を設定する必要があります。 詳細については、「GitHub AE の初期化」を参照してください。

GitHub AE のユーザプロビジョニング用にアプリケーションを設定するには、IdP の管理アクセス権が必要です。

Enterprise 向けのユーザプロビジョニングを有効化する

  1. your enterprise に Enterprise オーナーとしてサインインしているときに、admin:enterprise スコープで個人アクセス トークンを作成します。 詳細については、個人アクセス トークンの作成に関する記事を参照してください。

    :

    • 個人アクセストークンを作成するには、初期化中に作成した最初の Enterprise オーナーのアカウントを使用することをお勧めします。 詳細については、「GitHub AE の初期化」を参照してください。
    • IdP で SCIM 用にアプリケーションを設定するには、この個人アクセストークンが必要です。 手順の後半でトークンが再び必要になるまで、トークンをパスワードマネージャーに安全に保管してください。

    警告: 個人アクセス トークンを作成する Enterprise オーナーのユーザー アカウントが非アクティブ化またはプロビジョニング解除された場合、IdP によって Enterprise のユーザ アカウントが自動的にプロビジョニングおよびプロビジョニング解除されなくなります。 別の Enterprise オーナーは、新しい個人アクセストークンを作成し、IdP でプロビジョニングを再設定する必要があります。

    1. GitHub AE の右上で、ご自分のプロファイル写真をクリックしてから、 **[Enterprise 設定]** をクリックします。 ![GitHub AE のプロファイル写真のドロップダウン メニューの [自分の Enterprise]](/assets/images/enterprise/settings/enterprise-settings.png) 1. エンタープライズ アカウントのサイドバーで、 **[設定]** をクリックします。 ![エンタープライズ アカウントのサイドバー内の [設定] タブ](/assets/images/help/business-accounts/enterprise-account-settings-tab.png)
  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  3. [SCIM ユーザー プロビジョニング] で、 [SCIM ユーザー プロビジョニングを必須にする] を選択します。 エンタープライズ セキュリティ設定内の [SCIM ユーザー プロビジョニングを必須にする] のチェック ボックス

  4. [保存] をクリックします。 Enterprise セキュリティ設定内の [SCIM ユーザー プロビジョニングを必須にする] の下にある [保存] ボタン

  5. IdP の GitHub AE のアプリケーションでユーザプロビジョニングを設定します。

    次の IdP では、GitHub AE のプロビジョニングの設定に関するドキュメントを提供しています。 IdP がリストにない場合は、IdP に問い合わせて、GitHub AE のサポートをご依頼ください。

    IdP詳細情報
    Azure ADMicrosoft Docs の「チュートリアル: GitHub AE を構成し、自動ユーザー プロビジョニングに対応させる」。GitHub AE に Azure AD を設定するには、「Azure AD を使用して Enterprise の認証とプロビジョニングを設定する」を参照してください。
    Okta(ベータ版) GitHub AE に Okta を設定するには、「Okta を使用して Enterprise の認証とプロビジョニングを設定する」を参照してください。

    IdP のアプリケーションでは、your enterprise でユーザアカウントをプロビジョニングまたはプロビジョニング解除するために 2 つの値が必要です。

    その他の名前説明
    URLテナントの URLGitHub AE にある Enterprise の SCIM プロビジョニング API への URLhttps://[hostname]/api/v3/scim/v2
    共有シークレット個人アクセストークン、シークレットトークンEnterprise オーナーに代わってプロビジョニングタスクを実行するための IdP 上のアプリケーションのトークンステップ 1 で作成した個人アクセストークン