Skip to main content

Como configurar o provisionamento de usuários na empresa com o SCIM

Você pode configurar o SCIM (Sistema de Gerenciamento de Usuários entre Domínios) para a GitHub AE, que provisiona automaticamente as contas de usuário quando você atribui o aplicativo do GitHub AE a um usuário no IdP (provedor de identidade).

Who can use this feature

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

Sobre o provisionamento de usuários do GitHub AE

GitHub AE usa o SAML SSO para autenticação de usuário. Você pode gerenciar centralmente o acesso ao GitHub AE em um IdP que seja compatível com o padrão SAML 2.0. Para obter mais informações, confira "Como configurar o logon único do SAML para sua empresa".

Você poderá configurar o SCIM para criar ou suspender automaticamente as contas de usuário e permitir acesso do GitHub AE ao atribuir ou desatribuir o aplicativo no IdP. Para obter mais informações sobre o SCIM, confira Sistema de Gerenciamento de Usuários entre Domínios: protocolo (RFC 7644) no site do IETF.

Se você não configurar o provisionamento de usuários com SCIM, seu IdP não se comunicará com GitHub AE automaticamente quando você atribuir ou cancelar a atribuição do aplicativo a um usuário. Sem SCIM, GitHub AE cria uma conta de usuário usando o provisionamento SAML Just-in-Time (JIT) na primeira vez que alguém navega para GitHub AE e faz login autenticando por meio de seu IdP.

A configuração do provisionamento permite que o IdP se comunique com a your enterprise quando você atribui ou desatribui o aplicativo do GitHub AE a um usuário no IdP. Ao atribuir o aplicativo, o IdP pedirá que a your enterprise crie uma conta e envie um email de integração ao usuário. Ao desatribuir o aplicativo, o seu IdP irá comunicar-se com GitHub AE para invalidar quaisquer sessões de SAML e desabilitar a conta do integrante.

Para configurar o provisionamento para o seu negócio, você deve habilitar o provisionamento em GitHub AE e, em seguida, instalar e configurar um aplicativo de provisionamento no seu IdP.

Sobre identidades e declarações

Depois que um administrador do IdP permite que uma pessoa acesse a your enterprise, o usuário pode se autenticar por meio do IdP para acessar o GitHub AE usando o SSO de SAML.

Durante a autenticação, o GitHub AE tenta associar o usuário a uma identidade SAML. Por padrão, o GitHub AE compara a declaração NameID do IdP com o nome de usuário da conta. O GitHub AE normaliza o valor de NameID para a comparação. Para obter mais informações sobre normalização de nome de usuário, confira "Considerações de nome de usuário para autenticação externa".

Se não houver nenhum nome de usuário correspondente na instância, a instância criará uma conta para o usuário. Se houver uma conta com um nome de usuário correspondente na instância, o usuário entrará na conta.

Se o GitHub AE identificar com êxito um usuário do IdP, mas os detalhes da conta, como endereço de email, nome ou sobrenome, não corresponderem, a instância atualizará os detalhes com os valores do IdP.

Provedores de identidade compatíveis

Os IdPs a seguir dão suporte ao provisionamento de usuários com o SCIM para o GitHub AE.

Observação: o suporte para logon único (SSO) de GitHub AE para Okta está atualmente na versão beta.

IdPSAMLProvisionamento do usuárioMapeamento de equipe
Active Directory do Azure (Azure AD)
OktaBetaBetaBeta

Para IdPs compatíveis com o mapeamento de equipe, você pode atribuir ou desatribuir o aplicativo do GitHub AE a grupos de usuários do IdP. Estes grupos são disponibilizados aos proprietários da organização e mantenedores de equipe em your enterprise a serem mapeados para as equipes do GitHub AE. Para obter mais informações, confira "Como mapear grupos do Okta para equipes".

Pré-requisitos

  • Você deve ter acesso administrativo no seu IdP para configurar o aplicativo para o provisionamento do usuário para GitHub AE.

Habilitar provisionamento de usuários para a sua empresa

  1. Enquanto estiver conectado à your enterprise como um proprietário corporativo, crie um personal access token com o escopo admin:enterprise. Para obter mais informações, confira "Como criar um personal access token".

    Observações:

    • Para criar o personal access token, recomendamos usar a conta do primeiro proprietário corporativo que foi criada durante a inicialização. Para obter mais informações, confira "Como inicializar o GitHub AE".
    • Você precisará desse personal access token para configurar o aplicativo para o SCIM no IdP. Armazene o token com segurança em um gerenciador de senhas até que você precise do token novamente posteriormente nestas instruções.

    Aviso: se a conta de usuário do proprietário corporativo que cria o personal access token for desativada ou desprovisionada, o IdP não provisionará nem desprovisionará automaticamente as contas de usuário da empresa. Outro proprietário corporativo precisa criar um personal access token e reconfigurar o provisionamento no IdP.

    1. No canto superior à direita de GitHub AE, clique na foto do perfil e clique em **Configurações da empresa**. !["Configurações da empresa" no menu suspenso da foto do perfil em GitHub AE](/assets/images/enterprise/settings/enterprise-settings.png) 1. Na barra lateral da conta corporativa, clique em **Configurações**. ![Guia Configurações na barra lateral das contas corporativas](/assets/images/help/business-accounts/enterprise-account-settings-tab.png)
  2. In the left sidebar, click Security. Security tab in the enterprise account settings sidebar

  3. Em "Provisionamento de Usuário do SCIM", selecione Exigir provisionamento de usuário do SCIM. Caixa de seleção usada para "Exigir provisionamento de usuário do SCIM" nas configurações de segurança da empresa

  4. Clique em Salvar. Botão Salvar em "Exigir provisionamento de usuário do SCIM" nas configurações de segurança da empresa

  5. Configurar provisionamento de usuário no aplicativo para GitHub AE no seu IdP. Os seguintes IdPs fornecem documentação sobre a configuração de provisionamento do GitHub AE. Se seu IdP não estiver listado, entre em contato com seu IdP para solicitar suporte para GitHub AE.

    IdPMais informações
    Azure ADTutorial: Configurar o GitHub AE para o provisionamento automático de usuários no Microsoft Docs. Para configurar o Azure AD para o GitHub AE, confira "Como configurar a autenticação e o provisionamento da empresa usando o Azure AD".
    Okta(beta) Para configurar o Okta para o GitHub AE, confira "Como configurar a autenticação e o provisionamento na empresa usando o Okta".

    O aplicativo no IdP exige dois valores para provisionar ou desprovisionar contas de usuário em your enterprise.

    ValorOutros nomesDescriçãoExemplo
    URLURL do LocatárioURL para a API de provisionamento SCIM para a sua empresa em GitHub AEhttps://HOSTNAME/api/v3/scim/v2
    Segredo compartilhadoPersonal access token, token secretoToken para aplicativo no seu IdP para executar tarefas de provisionamento em nome do proprietário de uma empresaOs Personal access token que você criou na etapa 1