Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.
Atualmente o GitHub AE está em versão limitada.

Como configurar o provisionamento de usuários na empresa com o SCIM

Você pode configurar o SCIM (Sistema de Gerenciamento de Usuários entre Domínios) para a GitHub AE, que provisiona automaticamente as contas de usuário quando você atribui o aplicativo do GitHub AE a um usuário no IdP (provedor de identidade).

Quem pode usar esse recurso

Enterprise owners can configure user provisioning for an enterprise on GitHub AE.

Sobre o provisionamento de usuários do GitHub AE

GitHub AE usa o SAML SSO para autenticação de usuário. Você pode gerenciar centralmente o acesso ao GitHub AE em um IdP que seja compatível com o padrão SAML 2.0. Para obter mais informações, confira "Configurar o logon único SAML para sua empresa".

Você poderá configurar o SCIM para criar ou suspender automaticamente as contas de usuário e permitir acesso do GitHub AE ao atribuir ou desatribuir o aplicativo no IdP. Para obter mais informações sobre o SCIM, confira Sistema de Gerenciamento de Usuários entre Domínios: protocolo (RFC 7644) no site do IETF.

Se você não configurar o provisionamento de usuários com SCIM, seu IdP não se comunicará com GitHub AE automaticamente quando você atribuir ou cancelar a atribuição do aplicativo a um usuário. Sem SCIM, GitHub AE cria uma conta de usuário usando o provisionamento SAML Just-in-Time (JIT) na primeira vez que alguém navega para GitHub AE e faz login autenticando por meio de seu IdP.

A configuração do provisionamento permite que o IdP se comunique com a sua empresa quando você atribui ou desatribui o aplicativo do GitHub AE a um usuário no IdP. Ao atribuir o aplicativo, o IdP pedirá que a sua empresa crie uma conta e envie um email de integração ao usuário. Ao desatribuir o aplicativo, o seu IdP irá comunicar-se com GitHub AE para invalidar quaisquer sessões de SAML e desabilitar a conta do integrante.

Para configurar o provisionamento para o seu negócio, você deve habilitar o provisionamento em GitHub AE e, em seguida, instalar e configurar um aplicativo de provisionamento no seu IdP.

Sobre identidades e declarações

Depois que um administrador do IdP permite que uma pessoa acesse a sua empresa, o usuário pode se autenticar por meio do IdP para acessar o GitHub AE usando o SSO de SAML.

Durante a autenticação, o GitHub AE tenta associar o usuário a uma identidade SAML. Por padrão, o GitHub AE compara a declaração NameID do IdP com o nome de usuário da conta. O GitHub AE normaliza o valor de NameID para a comparação. Para obter mais informações sobre a normalização de nome de usuário, confira "Considerações de nome de usuário para autenticação externa".

Se não houver uma conta existente com um nome de usuário correspondente na instância, o usuário não conseguirá entrar.

Se GitHub AE identifica com êxito um usuário do IdP, mas os detalhes da conta, como endereço de email, nome ou sobrenome não correspondem, a instância substitui os detalhes pelos valores do IdP. Qualquer endereço de email diferente do email principal fornecido pelo SCIM também será excluído da conta do usuário.

Provedores de identidade compatíveis

Os IdPs a seguir dão suporte ao provisionamento de usuários com o SCIM para o GitHub AE.

Observação: o suporte para logon único (SSO) de GitHub AE para Okta está atualmente na versão beta.

IdPSAMLProvisionamento do usuárioMapeamento de equipe
Active Directory do Azure (Azure AD)
Okta Beta Beta Beta

Para IdPs compatíveis com o mapeamento de equipe, você pode atribuir ou desatribuir o aplicativo de GitHub AE para grupos de usuários do seu IdP. Estes grupos são disponibilizados aos proprietários da organização e mantenedores de equipe em sua empresa a serem mapeados para as equipes do GitHub AE. Para obter mais informações, confira "Mapeando grupos do Okta com as equipes".

Pré-requisitos

  • Você precisa configurar o SSO de SAML ao inicializar o GitHub AE. Para obter mais informações, confira "Inicializar o GitHub AE".
  • Você deve ter acesso administrativo no seu IdP para configurar o aplicativo para o provisionamento do usuário para GitHub AE.

Habilitar provisionamento de usuários para a sua empresa

  1. Enquanto estiver conectado à sua empresa como um proprietário corporativo, crie um personal access token com o escopo admin:enterprise. Para obter mais informações, confira "Criando um token de acesso pessoal".

    Observações:

    • Para criar o personal access token, recomendamos usar a conta do primeiro proprietário corporativo que foi criada durante a inicialização. Para obter mais informações, confira "Inicializar o GitHub AE".
    • Você precisará desse personal access token para configurar o aplicativo para o SCIM no IdP. Armazene o token com segurança em um gerenciador de senhas até que você precise do token novamente posteriormente nestas instruções.

    Aviso: se a conta de usuário do proprietário corporativo que cria o personal access token for desativada ou desprovisionada, o IdP não provisionará nem desprovisionará automaticamente as contas de usuário da empresa. Outro proprietário corporativo precisa criar um personal access token e reconfigurar o provisionamento no IdP.

    1. No canto superior à direita de GitHub AE, clique na foto do perfil e clique em **Configurações da empresa**.

    A screenshot of the drop-down menu that appears when you click the profile photo on GitHub Enterprise Server. The "Enterprise settings" option is highlighted in a dark orange outline.

  2. Na barra lateral da conta corporativa, clique em Configurações.

  3. Em Configurações, clique em Segurança da autenticação.

  4. Em "Provisionamento de Usuário do SCIM", selecione Exigir provisionamento de usuário do SCIM.

  5. Clique em Salvar.

  6. Configure o provisionamento de usuário no aplicativo para GitHub AE em seu IdP.

    Os seguintes IdPs fornecem documentação sobre configuração de provisionamento para GitHub AE. Se seu IdP não estiver listado, entre em contato com seu IdP para solicitar suporte para GitHub AE.

    IdPMais informações
    Azure ADTutorial: configure GitHub AE para provisionamento automático de usuários no Microsoft Docs. Para configurar o Azure AD para GitHub AE, confira "Configurar a autenticação e provisionamento para sua empresa usando o Azure AD".
    Okta(beta) Para configurar o Okta para GitHub AE, confira "Configuring authentication and provisioning for your enterprise using Okta".

    O aplicativo no IdP exige dois valores para provisionar ou desprovisionar contas de usuário em sua empresa.

    ValorOutros nomesDescriçãoExemplo
    URLURL do LocatárioURL para a API de provisionamento SCIM para sua empresa no GitHub AEhttps://HOSTNAME/api/v3/scim/v2
    Segredo compartilhadoPersonal access token, token secretoToken para aplicativo no seu IdP para executar tarefas de provisionamento em nome do proprietário de uma empresaPersonal access token que você criou na etapa 1