Сведения о SCIM для организаций
Если в вашей организации используется единый вход SAML, вы можете реализовать SCIM для добавления и удаления доступа членов организации к GitHub Enterprise Cloud и управления этим решением. Например, администратор может отозвать участника организации с помощью SCIM и автоматически удалить его из организации.
Note
Чтобы использовать единый вход SAML, ваша организация должна использовать GitHub Enterprise Cloud. Дополнительные сведения о том, как бесплатно попробовать GitHub Enterprise Cloud, см. в разделе Настройка пробной версии GitHub Enterprise Cloud.
Эту реализацию SCIM нельзя использовать с учетной записью предприятия или с организация с управляемыми пользователями. Если ваше предприятие включено для Enterprise Managed Users, необходимо использовать другую реализацию SCIM. В противном случае SCIM будет недоступен на уровне предприятия. Дополнительные сведения см. в разделе Настройка подготовки SCIM for Enterprise Managed Users.
Если вы используете единый вход SAML без реализации SCIM, автоматический отзыв будет недоступен. Когда срок действия сеансов участников организации истекает после удаления их доступа из IdP, они не удаляются из организации автоматически. Авторизованные токены дают им доступ к организации даже после истечения срока действия их сеансов. Если SCIM не используется, чтобы полностью удалить доступ участника, владелец организации должен удалить доступ участника в IdP и вручную удалить участника из организации в GitHub.
Если для вашей организации реализована подготовка SCIM, любые изменения членства пользователя в организации должны активироваться из поставщика удостоверений. Если пользователь приглашен в организацию вручную, а не с помощью существующей интеграции SCIM, учетная запись этого пользователя может быть неправильно связана с его удостоверением SCIM. В будущем это может препятствовать отзыву данной учетной записи пользователя через SCIM. Если пользователь удаляется вручную, а не с помощью существующей интеграции SCIM, устаревшее связанное удостоверение останется, что может привести к проблемам, когда пользователю потребуется повторно присоединиться к данной организации.
Поддерживаемые поставщики удостоверений
Эти поставщики удостоверений (IdP) совместимы с API SCIM GitHub Enterprise Cloud для организаций. Дополнительные сведения см. в разделе Конечные точки REST API для SCIM.
- Идентификатор Microsoft Entra (ранее известный как Azure AD)
- Okta
- OneLogin
Сведения о конфигурации SCIM для организаций
Чтобы использовать SCIM в организации, необходимо применять стороннее приложение OAuth app. Приложение OAuth app должно быть авторизовано и впоследствии действует от имени конкретного пользователя GitHub. Если пользователь, который в последний раз авторизовал OAuth app, выходит или удаляется из организации, SCIM перестанет работать. Чтобы избежать этой проблемы, рекомендуется создать выделенную учетную запись пользователя для настройки SCIM. Эта учетная запись пользователя должна быть владельцем организации и будет использовать лицензию.
Чтобы авторизовать OAuth app, требуется активный сеанс SAML. Дополнительные сведения см. в разделе Сведения о проверке подлинности с помощью единого входа SAML.
Note
Для каждого пользователя поставщик удостоверений SAML и клиент SCIM должны использовать соответствующие значения NameID
и userName
. Это позволяет пользователю выполнять проверку подлинности с помощью SAML, чтобы установить связь с подготовленным удостоверением SCIM.