Skip to main content

Sobre o SCIM para organizações

Com o Sistema para gerenciamento de identidades entre domínios (SCIM, System for Cross-domain Identity Management), os administradores podem automatizar a troca de informações de identidade do usuário entre sistemas.

Sobre o SCIM para organizações

Se sua organização usa o SSO do SAML, você pode implementar o SCIM para adicionar, gerenciar e remover o acesso dos membros da organização ao GitHub Enterprise Cloud. Por exemplo, um administrador pode desprovisionar um integrante da organização usando SCIM e remover automaticamente o integrante da organização.

Note

Para usar o logon único SAML, sua organização precisa usar o GitHub Enterprise Cloud. Para obter mais informações sobre como você pode experimentar o GitHub Enterprise Cloud gratuitamente, confira "Como configurar uma avaliação do GitHub Enterprise Cloud".

Você não pode usar essa implementação do SCIM com uma conta corporativa ou com uma organização com usuários gerenciados. Se a sua empresa estiver habilitada para Enterprise Managed Users, você deverá usar uma implementação diferente do SCIM. Caso contrário, o SCIM não estará disponível no nível empresarial. Para obter mais informações, confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".

Se você usar o SSO do SAML sem implementar o SCIM, não terá o desprovisionamento automático. Quando as sessões dos membros da organização expiram depois que o acesso é removido do IdP, eles não são automaticamente removidos da organização. Os tokens autorizados permitem acesso à organização mesmo depois que as sessões expiram. Se o SCIM não for usado, e um usuário quiser remover totalmente o acesso de um membro, ele deverá remover o acesso do membro no IdP e remover manualmente o membro da organização no GitHub.

Se o provisionamento do SCIM for implementado para sua organização, qualquer alteração na associação à organização de um usuário deverá ser disparada por meio do provedor de identidade. Se um usuário for convidado para uma organização manualmente em vez de por uma integração existente do SCIM, a conta de usuário dele poderá não ser vinculada corretamente à identidade do SCIM. Isso pode impedir que a conta de usuário seja desprovisionada por meio do SCIM no futuro. Se um usuário for removido manualmente em vez de por uma integração existente do SCIM, uma identidade vinculada obsoleta permanecerá, o que poderá resultar em problemas se o usuário precisar ingressar novamente na organização.

Provedores de identidade compatíveis

Estes IdPs (provedores de identidade) são compatíveis com a API do SCIM do GitHub Enterprise Cloud para organizações. Para saber mais, confira Pontos de extremidade da API REST para SCIM.

  • Microsoft Entra ID (anteriormente conhecida como Azure AD)
  • Okta
  • OneLogin

Sobre a configuração do SCIM para organizações

Para usar o SCIM com sua organização, você deve usar um OAuth app de terceiros. O OAuth app deve ser autorizado por usuário específico do GitHub e, posteriormente, atuar em nome dele. Se o usuário que autorizou pela última vez esse OAuth app sair ou for removido da organização, o SCIM deixará de funcionar. Para evitar esse problema, recomendamos criar uma conta de usuário dedicada para configurar o SCIM. Essa conta de usuário deve ser uma proprietária da organização e consumirá uma licença.

Para autorizar o OAuth app, você deve ter uma sessão de SAML ativa. Para saber mais, confira Sobre a autenticação com logon único de SAML.

Note

O IdP do SAML e o cliente SCIM devem usar valores correspondentes NameID e userNamepara cada usuário. Isso permite que um usuário que faz autenticação através do SAML seja vinculado à sua identidade SCIM provisionada.

Leitura adicional