Настройка подготовки SCIM с помощью Okta

Если вы используете Okta в качестве поставщика удостоверений (IdP), вы можете управлять жизненным циклом учетных записей пользователей предприятия на GitHub.com с помощью системы управления удостоверениями между доменами (SCIM).

Кто эту функцию можно использовать?

Чтобы управлять пользователями в организации с помощью поставщика удостоверений, ваше предприятие должно быть включено для Enterprise Managed Users, доступной с GitHub Enterprise Cloud. Дополнительные сведения см. в разделе "Сведения о Enterprise Managed Users".

В этой статье

Сведения о подготовке с помощью Okta

Если вы используете Okta в качестве поставщика удостоверений, вы можете использовать приложение Okta для подготовки учетных записей пользователей, управления членством в организации и управления членством в группах для организаций в организации. Okta является партнером idP, поэтому вы можете упростить проверку подлинности и подготовку с помощью приложения Okta для Enterprise Managed Users. Дополнительные сведения см. в разделе Сведения о Enterprise Managed Users.

Кроме того, если вы планируете использовать только Okta для проверки подлинности SAML и хотите использовать другой поставщик удостоверений для подготовки, вы можете интегрироваться с REST API GitHubREST API для SCIM. Дополнительные сведения см. в разделе Подготовка пользователей и групп с помощью SCIM с помощью REST API.

Дополнительные сведения о подготовке данных Enterprise Managed Usersсм. в разделе "Настройка подготовки SCIM для Enterprise Managed Users".

Поддерживаемые функции

Enterprise Managed Users поддерживает следующие функции подготовки для Okta.

ВозможностьDescription
Отправка новых пользователейПользователи, назначенные приложению GitHub Enterprise Managed User в Okta, автоматически создаются в предприятии на GitHub Enterprise Cloud.
Принудительные обновления профиляОбновления профиля пользователя в Okta будут отправлены в GitHub Enterprise Cloud.
Отправка группГруппы в Okta, назначенные приложению GitHub Enterprise Managed User в качестве групп отправки, автоматически создаются в организации на GitHub Enterprise Cloud.
Принудительная деактивация пользователяОтмена назначения пользователя из приложения GitHub Enterprise Managed User в Okta отключит пользователя на GitHub Enterprise Cloud. Пользователь не сможет войти в систему, но его данные сохранятся.
Повторная активация пользователейПользователи в Okta, чьи учетные записи Okta повторно активируются и которые назначаются обратно приложению GitHub Enterprise Managed User, будут включены.

Примечание. Enterprise Managed Users не поддерживает изменения имен пользователей.

Необходимые компоненты

  • Для проверки подлинности и подготовки необходимо использовать приложение Okta.

  • Продукт Okta должен поддерживать систему управления удостоверениями между доменами (SCIM). Дополнительные сведения см. в документации okta или обратитесь в службу поддержки Okta.

  • GitHub рекомендует выполнять проверку подлинности только запросов с помощью приложения SCIM okta с помощью personal access token (classic), связанного с пользователем настройки вашего предприятия. Для маркера требуется область admin:enterprise. Дополнительные сведения см. в разделе Настройка подготовки SCIM для Enterprise Managed Users.

Настройка названия организации

После создания корпоративный с управляемыми пользователями можно начать настройку подготовки, задав имя предприятия в Okta.

  1. Откройте приложение GitHub Enterprise Managed User в Okta.
  2. Перейдите на вкладку Вход.
  3. Чтобы внести изменения, щелкните Правка.
  4. В разделе "Параметры расширенного входа" в текстовом поле "Название организации" введите название организации. Например, если вы обращаетесь к организации по адресу https://github.com/enterprises/octoinc, название вашей организации будет octoinc.
  5. Чтобы сохранить название организации, щелкните Сохранить.

Настройка подготовки

После задания названия организации можно продолжить настройку параметров подготовки.

Чтобы настроить подготовку, пользователю установки с @помощью SHORT-CODE_admin имени пользователя потребуется предоставить personal access token (classic) администратором :enterprise область. Дополнительные сведения о создании маркера см. в разделе "Настройка подготовки SCIM для Enterprise Managed Users".

  1. Откройте приложение GitHub Enterprise Managed User в Okta.

  2. Перейдите на вкладку "Подготовка ".

  3. В меню настроек щелкните Интеграция.

  4. Чтобы внести изменения, щелкните Правка.

  5. Выберите Включить интеграцию API.

  6. В поле "Токен API" введите personal access token (classic) с правами администратора:enterprise область, принадлежащих пользователю установки.

    Note

    "Импорт групп" не** поддерживается **GitHub. Выбор или отмена выбора проверка box не влияет на конфигурацию.

  7. Нажмите Проверить учетные данные API. Если проверка выполнена успешно, в верхней части экрана появится проверочное сообщение.

  8. Чтобы сохранить маркер, щелкните Сохранить.

  9. В меню настроек щелкните Перейти к приложению.

  10. Чтобы разрешить внесение изменений, справа от пункта "Подготовка для приложения" щелкните Изменить.

  11. Выберите "Включить" справа от создания пользователей, обновления атрибутов пользователей и деактивации пользователей.

  12. Чтобы завершить настройку подготовки, щелкните Сохранить.

Назначение пользователей и групп

После настройки проверки подлинности и подготовки вы сможете подготовить новых пользователей в GitHub.com путем назначения пользователям или группам приложения GitHub Enterprise Managed User .

Примечание. Чтобы избежать превышения предела скорости для GitHub Enterprise Cloud, не назначайте более 1000 пользователей в час интеграции SCIM в вашем idP. Если вы используете группы для назначения пользователей приложению IdP, не добавляйте более 1000 пользователей в каждую группу в час. При превышении этих пороговых значений попытки подготовки пользователей могут завершиться ошибкой, связанной с ограничением скорости. Журналы поставщика удостоверений можно проверить, не удалось ли выполнить подготовку SCIM или операции отправки из-за ошибки ограничения скорости. Ответ на неудачную попытку подготовки будет зависеть от поставщика удостоверений. Дополнительные сведения см. в разделе "Устранение неполадок с управлением удостоверениями и доступом для предприятия".

Вы также можете автоматически управлять членством в организации, добавив группы на вкладку "Push Groups" в Okta. После успешной подготовки группы она будет доступна для подключения к командам в организациях предприятия. Дополнительные сведения об управлении командами см. в разделе "Управление членством в группах поставщиков удостоверений".

Примечание. Атрибут "Роли" можно задать только для отдельного пользователя, а не группы. Если вы хотите задать роли для всех пользователей в группе, назначенной приложению GitHub Enterprise Managed User, необходимо использовать атрибут "Роли" для каждого члена группы по отдельности.

Отзыв пользователей и групп

Чтобы удалить пользователя или группу из GitHub Enterprise Cloud, удалите их с вкладки "Назначения" и вкладки "Отправка групп" в Okta. При удалении пользователя убедитесь, что он удален из всех групп на вкладке "Отправка групп".