Configurando o provisionamento do SCIM para gerenciar usuários

Para criar, gerenciar e desativar contas de usuário para membros da empresa no GitHub, o IdP pode implementar o SCIM para comunicação com o GitHub. O SCIM é uma especificação aberta para gerenciamento de identidades de usuários entre sistemas. Diferentes IdPs fornecem experiências diferentes para a configuração do provisionamento do SCIM.

Se você usar um provedor de identidade de parceiro, poderá simplificar a configuração do provisionamento do SCIM usando o aplicativo desse provedor. Se você não usar um provedor de identidade de parceiro para provisionamento, poderá implementar o SCIM usando chamadas para a API REST do GitHub do SCIM. Para obter mais informações, confira "Sobre o provisionamento de usuários com o SCIM no GitHub Enterprise Server."

Quem precisa seguir estas instruções?

Mesmo que sua instância já use a autenticação SAML ou se você tiver sido inscrito no beta privada do SCIM em uma versão anterior do GitHub Enterprise Server, certifique-se de ter seguido todas as instruções neste guia para habilitar o SCIM na versão 3.14 e posterior.

Este guia se aplica em qualquer uma das seguintes situações.

• Você está configurando o SAML e o SCIM pela primeira vez: siga estas instruções para começar.
• Você já usa a autenticação SAML: você precisará habilitar o SCIM em sua instância, além de reconfigurar o SAML com um aplicativo IdP que ofereça suporte ao provisionamento automatizado ou configurar uma integração SCIM com a API REST.
• Você foi inscrito no beta privada do SCIM: será necessário reabilitar o SCIM em sua instância e, se estiver usando um IdP de parceiro, reconfigurar suas configurações em um aplicativo IdP atualizado.

Pré-requisitos

• Para autenticação, sua instância deve usar SSO do SAML ou uma combinação de SAML e autenticação integrada.
  • Não é possível misturar o SCIM com outros métodos de autenticação externa. Se você usar CAS ou LDAP, precisará migrar para SAML antes de usar o SCIM.
  • Depois de configurar o SCIM, você deve manter a autenticação SAML habilitada para continuar usando o SCIM.
• Você deve ter acesso administrativo no seu IdP para configurar o provisionamento de usuários para o GitHub Enterprise Server.
• Você deve ter acesso ao Console de Gerenciamento no GitHub Enterprise Server.
• Se você estiver configurando o SCIM em uma instância com usuários existentes, certifique-se de ter entendido como o SCIM identificará e atualizará esses usuários. Confira "Sobre o provisionamento de usuários com o SCIM no GitHub Enterprise Server".

1. Crie um usuário de configuração integrado

Para garantir que você possa continuar a iniciar sessão e definir as configurações quando o SCIM estiver habilitado, você criará um proprietário corporativo usando a autenticação interna.

1. Inicie sessão no GitHub Enterprise Server como um usuário com acesso ao Console de Gerenciamento.

2. Se você já tiver habilitado a autenticação SAML, certifique-se de que suas configurações permitam criar e promover um usuário de configuração integrado. Vá para a seção "Autenticação" do Console de Gerenciamento e habilite as seguintes configurações:

   • Selecione Permitir a criação de contas com autenticação interna para que você possa criar o usuário.
   • Selecione Desabilitar rebaixamento/promoção de administrador para que as permissões de administrador possam ser concedidas fora do seu provedor SAML.

   Para obter ajuda para encontrar essas configurações, consulte "Configurar o logon único SAML para sua empresa".

3. Crie uma conta de usuário integrada para executar ações de provisionamento em sua instância. Confira "Como permitir a autenticação interna para usuários de fora do seu provedor".

   Note

   Verifique se o e-mail e o nome de usuário do usuário são diferentes de qualquer usuário que você planeja provisionar por meio do SCIM. Se o seu provedor de e-mail for compatível, você poderá modificar um endereço de e-mail adicionando +admin, por exemplo johndoe+admin@example.com.

4. Promova o usuário a um proprietário de empresa. Confira "Promover ou rebaixar administradores de site".

2. Crie um personal access token

1. Inicie sessão na instância como o usuário de configuração interno que você criou na seção anterior.

2. Crie um personal access token (classic). Para obter instruções, consulte "Gerenciar seus tokens de acesso pessoal".

   • O token deve ter o escopo admin:enterprise.
   • O token não deve ter expiração. Se você especificar uma data de validade, o SCIM não funcionará mais após a data de validade.

3. Armazene o token com segurança em um gerenciador de senhas até que você precise do token novamente posteriormente no processo de configuração. Você precisará do token para configurar o SCIM em seu IdP.

3. Habilite o SAML em sua instância

1. Inicie sessão na sua instância como um usuário com acesso ao Console de Gerenciamento.

2. Vá para a seção "Autenticação" do Console de Gerenciamento. Para obter instruções, consulte "Configurar o logon único SAML para sua empresa".

3. Selecione SAML.

4. Defina as configurações de SAML de acordo com seus requisitos e o IdP que você está usando.

   • Para que o usuário de configuração interno possa continuar a autenticar, certifique-se de selecionar as seguintes configurações:
     • Permitir a criação de contas com a autenticação interna
     • Desativar rebaixamento/promoção de administrador
   • Se você estiver usando um IdP de parceiro, para encontrar as informações necessárias para definir as configurações, siga a seção "Configurar SAML" do guia relevante.
     • "Configurando a autenticação e o provisionamento com o Entra ID"
     • "Configurar autenticação e provisionamento com PingFederate"
     • "Configurando a autenticação e o provisionamento com o Okta"

5. Opcionalmente, conclua a configuração das opções de SAML dentro do aplicativo em seu IdP. Esta etapa pode ser deixada para mais tarde.

4. Habilite o SCIM em sua instância

1. Inicie sessão na instância como o usuário de configuração interno que você criou anteriormente.

2. In the top-right corner of GitHub, click your profile photo, then click Your enterprise.

3. Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.

4. Em Configurações, clique em Segurança da autenticação.

5. Em "Configuração do SCIM", selecione Habilitar configuração do SCIM.

5. Configure o provedor de identidade

Depois de concluir a configuração no GitHub, você poderá configurar o provisionamento em seu IdP. As instruções que você deve seguir diferem dependendo se você usa um aplicativo de IdP parceiro para autenticação e provisionamento.

• Como configurar o provisionamento se você usa um aplicativo de IdP parceiro
• Como configurar o provisionamento para outros sistemas de gerenciamento de identidades

Como configurar o provisionamento se você usa um aplicativo de IdP parceiro

Para usar o aplicativo de um IdP de parceiro para autenticação e provisionamento, revise as instruções vinculadas abaixo. Conclua as etapas para habilitar o SCIM, além de qualquer configuração de SAML que você ainda não tenha executado.

• "Configurando a autenticação e o provisionamento com o Entra ID"
• "Configurar autenticação e provisionamento com PingFederate"
• "Configurando a autenticação e o provisionamento com o Okta"

Como configurar o provisionamento para outros sistemas de gerenciamento de identidades

Se você não usar um IdP parceiro ou se usar apenas um IdP parceiro para autenticação, poderá gerenciar o ciclo de vida das contas de usuário usando os pontos de extremidade da API REST do GitHub para provisionamento do SCIM. Confira "Provisionar usuários e grupos com SCIM usando a API REST".

6. Desative as configurações opcionais

Depois de concluir o processo de configuração, você poderá desativar as seguintes configurações no Console de Gerenciamento:

• Permitir a criação de contas com autenticação interna: desabilite essa configuração se quiser que todos os usuários sejam provisionados do seu IdP.
• Desabilitar rebaixamento/promoção de administrador: desabilite essa configuração se quiser conceder a função de proprietário da empresa via SCIM.

7. Atribua usuários e grupos

Depois de configurar a autenticação e o provisionamento, você poderá provisionar novos usuários no GitHub ao atribuir usuários ou grupos ao aplicativo relevante em seu IdP.

Ao atribuir aos usuários, você poderá usar o atributo "Funções" no aplicativo em seu IdP para definir a função de um usuário na empresa no GitHub Enterprise Server. Para saber mais sobre as funções disponíveis para atribuição, confira "Funções em uma empresa".

O Entra ID não dá suporte ao provisionamento de grupos aninhados. Para obter mais informações, confira Como funciona o provisionamento de aplicativos no Microsoft Entra ID no Microsoft Learn.