조직에 대한 SCIM 정보
조직에서 SAML SSO를 사용하는 경우 SCIM을 구현하여 GitHub Enterprise Cloud에 대한 조직 멤버의 액세스 권한을 추가, 관리, 제거할 수 있습니다. 예를 들어, 관리자는 SCIM을 사용하여 조직 멤버의 프로비전을 해제하고 자동으로 조직에서 멤버를 제거할 수 있습니다.
참고: SAML Single Sign-On을 사용하려면 조직에서 GitHub Enterprise Cloud를 사용해야 합니다. GitHub Enterprise Cloud를 체험해 보는 방법에 대한 자세한 내용은 “GitHub Enterprise Cloud 평가판 설정”을 참조하세요.
엔터프라이즈 계정 또는 에서는 이 SCIM 구현을 사용할 수 없습니다. 엔터프라이즈가 Enterprise Managed Users에서 사용하도록 설정된 경우 다른 SCIM 구현을 사용해야 합니다. 이외의 경우에는 엔터프라이즈 수준에서 SCIM을 사용할 수 없습니다. 자세한 내용은 "Enterprise Managed Users에 대한 SCIM 프로비저닝 구성"을(를) 참조하세요.
SCIM을 구현하지 않고 SAML SSO를 사용하는 경우 자동 프로비저닝 해제를 이용할 수 없습니다. IdP에서 액세스 권한이 제거된 후 조직 멤버의 세션이 만료되는 경우 조직 멤버가 조직에서 자동으로 제거되지 않습니다. 권한 있는 토큰은 세션이 만료된 후에도 조직에 대한 액세스 권한을 부여합니다. SCIM을 사용하지 않는 경우 멤버의 액세스 권한을 완전히 제거하려면 조직 소유자가 IdP에서 멤버의 액세스 권한을 제거하고 GitHub의 조직에서 멤버를 수동으로 제거해야 합니다.
조직에 SCIM 프로비저닝이 구현된 경우 사용자의 조직 멤버 자격에 대한 변경 내용은 ID 공급자로부터 트리거되어야 합니다. 사용자가 기존 SCIM 통합 대신 수동으로 조직에 초대되는 경우 사용자 계정이 SCIM ID에 제대로 연결되지 않을 수 있습니다. 이렇게 하면 나중에 SCIM을 통해 사용자 계정의 프로비전이 해제되지 않도록 할 수 있습니다. 기존 SCIM 통합 대신 수동으로 사용자를 제거하면 부실 연결 ID가 남게 되어 사용자가 조직에 다시 가입해야 하는 경우에 문제가 발생할 수 있습니다.
지원되는 ID 공급자
이러한 IdP(ID 공급자)는 조직의 GitHub Enterprise Cloud SCIM API와 호환됩니다. 자세한 내용은 "SCIM용 REST API 엔드포인트"을(를) 참조하세요.
- Microsoft Entra ID(이전의 Azure AD)
- Okta
- OneLogin
조직에 대한 SCIM 구성 정보
조직에서 SCIM을 사용하려면 타사 소유 OAuth app을 사용해야 합니다. OAuth app은 특정 GitHub 사용자가 권한을 부여하며 해당 사용자를 대신해서 후속 작업을 수행합니다. 이 OAuth app에 마지막으로 권한을 부여한 사용자가 조직을 떠나거나 조직에서 제거되면 SCIM의 작동이 중지됩니다. 이 문제를 방지하려면 SCIM을 구성하기 위한 전용 사용자 계정을 만드는 것이 좋습니다. 이 사용자 계정은 조직 소유자여야 하며 라이선스를 사용합니다.
OAuth app에 권한을 부여하기 전에 활성 SAML 세션이 있어야 합니다. 자세한 내용은 "SAML Single Sign-On을 사용한 인증 정보"을(를) 참조하세요.
참고: SAML IdP 및 SCIM 클라이언트는 각 사용자에 대해 일치하는 NameID 및 userName 값을 사용해야 합니다. 그러면 SAML을 통해 인증하는 사용자를 프로비저닝된 SCIM ID에 연결할 수 있습니다.