Configurando o provisionamento de SCIM para usuários gerenciados pela empresa

Neste artigo

Você pode configurar seu provedor de identidade para fornecer novos usuários e gerenciar seus integrantes na sua empresa e equipes.

Para gerenciar os usuários na sua empresa com seu provedor de identidade, a empresa precisa estar habilitada para os Enterprise Managed Users, que está disponível no GitHub Enterprise Cloud. Para obter mais informações, confira "Sobre os Enterprise Managed Users".

Sobre o provisionamento para Enterprise Managed Users

Você deve configurar o provisionamento para Enterprise Managed Users a fim de criar, gerenciar e desativar contas de usuário para os integrantes da sua empresa.

Depois que você configurar o provisionamento para o Enterprise Managed Users, os usuários atribuídos ao aplicativo GitHub Enterprise Managed User no provedor de identidade serão provisionados como novos contas de usuário gerenciadas no GitHub por meio do SCIM, e os contas de usuário gerenciadas serão adicionados à sua empresa. Se você atribuir um grupo ao aplicativo, todos os usuários do grupo serão provisionados como novos contas de usuário gerenciadas.

Quando você atualiza as informações associadas à identidade de um usuário no IdP, o IdP atualiza a conta do usuário no GitHub.com. Quando você cancela a atribuição do usuário do aplicativo ao GitHub Enterprise Managed User ou desativa a conta de um usuário no IdP, o IdP se comunica com o GitHub para invalidar as sessões e desabilitar a conta do membro. As informações da conta desativada serão mantidas e seu nome de usuário será alterado para hash do seu nome de usuário original com o código curto anexado. Se você transferir um usuário para o aplicativo GitHub Enterprise Managed User ou reativar a conta dele no IdP, a conta do conta de usuário gerenciada no GitHub será reativada e o nome de usuário restaurado.

Os grupos no seu IdP podem ser usados para gerenciar a participação de equipe nas organizações de sua empresa, permitindo que você configure o acesso e as permissões do repositório por meio do seu IdP. Para obter mais informações, confira "Gerenciando associações de equipes com grupos de provedores de identidade".

Pré-requisitos

Para configurar o provisionamento de Enterprise Managed Users, você precisa configurar o logon único do SAML ou do OIDC.

Como criar um personal access token

Para configurar o provisionamento para o empresa com usuários gerenciados, você precisa ter umpersonal access token (classic) com o escopo admin:enterprise que pertença ao usuário da instalação.

Aviso: se o token vencer ou um usuário provisionado criar o token, o provisionamento do SCIM poderá parar de funcionar inesperadamente. Certifique-se de criar o token enquanto estiver conectado como usuário de configuração e que o vencimento do token esteja definido como "Sem vencimento".

  1. Entre no GitHub.com como o usuário de instalação para sua nova empresa com o nome de usuário @SHORT-CODE_admin.

  2. No canto superior direito de qualquer página, clique na foto do seu perfil e em Configurações.

    Captura de tela do menu da conta do GitHub mostrando as opções para os usuários exibirem e editarem o perfil, o conteúdo e as configurações. Há um item de menu "Configurações" com o contorno em laranja escuro.

  3. Na barra lateral esquerda, clique em Configurações do desenvolvedor.

  4. Na barra lateral esquerda, clique em Personal access token .

  5. Clique em Gerar novo token.

  6. Em Observação, dê ao token um nome descritivo.

  7. Selecione o menu suspenso Validade e clique em Sem data de validade.

  8. Selecione o escopo admin:enterprise. Captura de tela de uma lista de escopos com caixas de seleção. O escopo "admin:enterprise", acompanhado do texto "Controle total das empresas", está selecionado e realçado com um contorno em laranja.

  9. Clique em Gerar token.

  10. Para copiar o token para a área de transferência, clique em .

    Captura de tela da página "Personal access tokens". Ao lado de um token desfocado, um ícone de dois quadrados sobrepostos está realçado em laranja.

  11. Para salvar o token para usar mais tarde, armazene o novo token de forma segura em um gerenciador de senhas.

Configurando provisionamento para Enterprise Managed Users

Depois de criar seu personal access token e armazená-lo com segurança, você pode configurar o provisionamento no provedor de identidade.

Observação: para evitar exceder o limite de taxa no GitHub Enterprise Cloud, não atribua mais de mil usuários por hora ao aplicativo do IdP. Se você usar grupos para atribuir usuários ao aplicativo do IdP, não adicione mais de mil usuários a cada grupo por hora. Se você exceder esses limites, as tentativas de provisionar usuários poderão falhar com um erro de "limite de taxa". Você pode examinar os logs do IdP para confirmar se houve falha no provisionamento do SCIM ou nas operações de push devido a um erro de limite de taxa. A resposta a uma tentativa de provisionamento com falha dependerá do IdP. Para obter mais informações, confira "Solução de problemas de gerenciamento de identidade e acesso da empresa".

Para configurar o provisionamento, clique no link apropriado na tabela abaixo.

| Provedor de identidade | Método SSO | Mais informações | |---|---|---| | Azure AD | OIDC | Tutorial: Configurar OIDC (Usuários Empresariais Gerenciados) no GitHub para provisionamento automático de usuários na documentação do Azure AD | | Azure AD | SAML | Tutorial: Configurar Usuários Empresariais Gerenciados no GitHub para provisionamento automático de usuários na documentação do Azure AD | | Okta | SAML | Como configurar o provisionamento do SCIM para (Usuários Empresariais Gerenciados com Okta | | PingFederate (beta público) | SAML | Configurar PingFederate para provisionamento e SSO e documentação de Gerenciamento de canal no PingFederate |

Observação: o suporte para PingFederate está atualmente em versão beta pública e sujeito a alterações.

Observação: o Azure AD não dá suporte ao provisionamento de grupos aninhados. Para obter mais informações, confira Como funciona o Provisionamento de Aplicativo no Azure Active Directory.