Skip to main content

Solução de problemas de identidade e gerenciamento de acesso

Revise e solucuone erros comuns para gerenciar a o SAML SSO da sua organização, sincronização de equipes ou provedor de identidade (IdP).

Alguns usuários não são provisionados ou desprovisionados pelo SCIM

Ao encontrar problemas de provisionamento com os usuários, recomendamos que verifique se os usuários não têm metadados de SCIM.

If SCIM provisioning is implemented for your organization, any changes to a user's organization membership should be triggered from the identity provider. If a user is invited to an organization manually instead of by an existing SCIM integration, their user account may not get properly linked to their SCIM identity. This can prevent the user account from being deprovisioned via SCIM in the future. If a user is removed manually instead of by an existing SCIM integration, a stale linked identity will remain, which can lead to issues if the user needs to re-join the organization.

Se um integrante da organização não tiver metadados do SCIM, você poderá provisionar o SCIM novamente para o usuário manualmente por meio do seu IdP.

Auditoria de usuários com relação à falta de metadados do SCIM

Se você suspeitar ou notar que os usuários não foram provisionados ou desprovisionados, recomendamos que você faça uma auditoria de todos os usuários da sua organização.

Para verificar se os usuários têm uma identidade do SCIM (metadados do SCIM) na sua identidade externa, você poderá revisar os metadados do SCIM para um integrante da organização por vez em GitHub ou você pode verificar programaticamente todos os integrantes da organização que usam a API de GitHub.

Fazendo a auditoria dos integrantes da organização em GitHub

Como proprietário da organização, para confirmar que os metadados do SCIM existem para um único integrante da organização, acesse esta URL, substituindo <organization> e <username>:

https://github.com/orgs/<organization>/people/<username>/sso

Se a identidade externa do usuário incluir metadados do SCIM, o proprietário da organização deverá ver uma seção de identidade do SCIM nessa página. Se sua identidade externa não incluir nenhum metadado do SCIM, a seção de Identidade SCIM não existirá.

Auditando integrantes da organização por meio da API de GitHub

Como proprietário da organização, você também pode consultar a API REST do SCIM ou do GraphQL para listar todas as identidades provisionadas do SCIM em uma organização.

Usando a API REST

A API REST do SCIM só retornará dados para usuários que tenham metadados do SCIM preenchidos nas suas identidades externas. Recomendamos que você compare uma lista de identidades fornecidas pelo SCIM com uma lista de todos os integrantes da sua organização.

Para obter mais informações, consulte:

Usando o GraphQL

Esta consulta do GraphQL mostra o NameId do SAML, o UserName d SCIM e o nome de usuário de GitHub (`de login) para cada usuário da organização. Para usar esta consulta, substitua ORG` pelo nome da sua organização.

{
  organization(login: "ORG") {
    samlIdentityProvider {
      ssoUrl
      externalIdentities(first: 100) {
        edges {
          node {
            samlIdentity {
              nameId
            }
            scimIdentity {
              username
            }
            user {
              login
            }
          }
        }
      }
    }
  }
}
curl -X POST -H "Authorization: Bearer " -H "Content-Type: application/json" -d '{ "query": "{ organization(login: \"ORG\") { samlIdentityProvider { externalIdentities(first: 100) { pageInfo { endCursor startCursor hasNextPage } edges { cursor node { samlIdentity { nameId } scimIdentity {username}  user { login } } } } } } }" }'  https://api.github.com/graphql

Para obter mais informações sobre o uso da API do GraphQL, consulte:

Reprovisionando o SCIM para os usuários por meio do seu provedor de identidade

Você pode provisionar o SCIM novamente para os usuários manualmente por meio do seu IdP. Por exemplo, para resolver erros de provisionamento para o Okta, no portal de administração do Okta, você pode desatribuir e reatribuir os usuários para o aplicativo de GitHub. Isto deve acionar o Okta para fazer uma chamada da API para preencher os metadados do SCIM para esses usuários em GitHub. Para obter mais informações, consulte "Desatribuir usuários de aplicativos" ou "Atribuir usuários aos aplicativos" na documentação do Okta.

Para confirmar que a identidade do SCIM de um usuário foi criada. Recomendamos testar este processo com um único integrante de uma organização que você tenha confirmado que não tem uma identidade externa do SCIM. Depois de atualizar manualmente os usuários do seu IdP, você poderá verificar se a identidade SCIM do usuário foi criada usando a API SCIM ou em GitHub. Para mais informações consulte "Usuários de auditoria por falta de metadados SCIM" ou o ponto de extremidade da API REST "Obtenha informações de provisionamento do SCIM para um usuário."

Se o novo provisionamento do SCIM para os usuários não ajudar, entre em contato com o suporte de GitHub.