Отмена подготовки и восстановление пользователей с помощью SCIM

Сведения об отмене подготовки или восстановлении пользователей.

Кто может использовать эту функцию?

Enterprises that use Enterprise Managed Users, or GitHub Enterprise Server instances with SCIM enabled

В этой статье

Примечание.

Поддержка SCIM находится в public preview в этой версии GitHub Enterprise Server. Общедоступная поддержка SCIM доступна в версии 3.17 и более поздних версиях.

Если , включив SCIM для ваш экземпляр GitHub Enterprise Server, вы будете использовать SCIM для:

  • Отмена подготовки пользователей и групп для удаления доступа.
  • Повторное подготовку пользователей, которые ранее были отозваны.

Перед отменой подготовки пользователя важно понимать последствия отмены подготовки, которые зависят от типа вызова API отмены подготовки, который получает от поставщика удостоверений GitHub от поставщика удостоверений.

Внимание

Прежде чем читать дальше, убедитесь, что ваше предприятие реализовало SCIM. GitHub предоставляет приложение "проложенный путь", если для проверки подлинности и подготовки используется поддерживаемый поставщик удостоверений (IdP). Если вы не используете приложение с проложенным путем, вы будете использовать REST API для выполнения запросов SCIM. См. раздел Сведения о подготовке пользователей с помощью SCIM на GitHub Enterprise Server.

Типы отзыва пользователей

При отмене подготовки пользователя учетная запись GitHub приостановлена, что означает, что пользователь не может получить доступ к вашей организации. Независимо от типа отмены подготовки, удаленная учетная запись никогда не удаляется из предприятия.

Тип отмены вызова, который GitHub получает от поставщика удостоверений, определяет, можно ли отменять (восстановить) отозванного пользователя.

  • Soft-deprovision: в некоторых сценариях пользователь может быть неуправляемым через интеграцию SCIM.
  • Жесткое удаление: невозможно отменить настройку пользователя. Новая учетная запись должна быть подготовлена, если пользователю необходимо восстановить доступ.

Последствия отмены подготовки пользователя

При отмене учетной записи пользователя с помощью поставщика удостоверений или REST API GitHub вносит изменения в учетную запись пользователя.

Эффекты обратимой отмены подготовки

  • Пользователь приостановлен и теряет доступ к корпоративным и частным ресурсам.
  • После приостановки учетной записи пользователя она будет указана на странице "Приостановленные члены" вместо страницы "Члены" в разделе "Люди" параметров предприятия.
  • Имя пользователя закроется хэш исходного имени пользователя.
  • При использовании идентификатора Записи адрес электронной почты пользователя остается неизменным. Во всех остальных случаях электронная почта пользователя скрыта.
  • Удостоверение SCIM пользователя остается связанным с учетной записью пользователя на GitHub. При использовании идентификатора Entra значение атрибута active в хранящейся связанной идентификации SCIM обновляется в True значение False.
  • Если у пользователя есть вилки частных или внутренних репозиториев, они удаляются в течение 24 часов. Вилки будут восстановлены, если пользователь не включен в течение 90 дней.
  • Если пользователь является членом любых групп поставщика удостоверений, подготовленных SCIM, они скрыты из этих групп и удаляются из всех групп, сопоставленных с этими группами. Обратите внимание, что это происходит, даже если пользователь по-прежнему является членом группы на стороне поставщика удостоверений.
  • Если членство в организации управляется группами поставщика удостоверений, пользователь будет удален из организаций при удалении из этих групп поставщика удостоверений или удален из всех групп, сопоставленных с группами поставщика удостоверений в организации.
  • Если членство в организации управляется напрямую, пользователь останется в качестве "приостановленного члена" организации без доступа, пока не будет удален вручную.

Эффекты жесткой отмены подготовки

  • Пользователь приостановлен и теряет доступ к корпоративным и частным ресурсам.
  • После приостановки учетной записи пользователя она будет указана на странице "Приостановленные члены" вместо страницы "Члены" в разделе "Люди" параметров предприятия.
  • Имя пользователя закроется хэш исходного имени пользователя.
  • Адрес электронной почты пользователя замаскирован.
  • Отображаемое имя пользователя имеет пустую строку.
  • Связанное удостоверение SCIM пользователя, включая все атрибуты SCIM пользователя, удаляется.
  • Данные пользователя personal access tokens, fine-grained personal access tokens, ключи SSH, ключи GPG и авторизация приложений удаляются. Удаление ключей может повлиять на проверку фиксации. См . раздел AUTOTITLE.
  • Репозитории, принадлежащие пользователю, удаляются.
  • Ресурсы, созданные пользователем, например примечания, сохраняются****.
  • Если пользователь является членом любых групп поставщика удостоверений, подготовленных SCIM, они скрыты из этих групп и удаляются из всех групп, сопоставленных с этими группами. Обратите внимание, что это происходит, даже если пользователь по-прежнему является членом группы на стороне поставщика удостоверений.
  • Если членство в организации управляется группами поставщика удостоверений, пользователь будет удален из организаций при удалении из этих групп поставщика удостоверений или удален из всех групп, сопоставленных с группами поставщика удостоверений в организации.
  • Если членство в организации управляется напрямую, пользователь останется в качестве "приостановленного члена" организации без доступа, пока не будет удален вручную.

Действия, которые активируют отмену подготовки

Различные действия активируют обратимое депровизирование и жесткое удаление, а триггеры зависят от интеграции SCIM. Как правило, большинство действий, выполняемых в приложениях idP "проложенного пути", активируют только обратимую отмену подготовки, за исключением некоторых исключений.

Триггеры обратимой отмены подготовки

Интеграция SCIMТриггер обратимой отмены подготовки
REST APIОтправляется PUT или отправляется /scim/v2/Users/{scim_user_id}запрос, обновляя поле пользователя active до false``PATCH .
Entra IDПользователь отключен в идентификаторе Entra, не назначен из приложения, удален из всех назначенных групп или обратимо удален из клиента администратором. Дополнительные сведения см . в документации Майкрософт по обратимым удалениям .
OktaПользователь не назначен из приложения, удален из всех назначенных групп или деактивирован с помощью кнопки "Деактивировать". Обратите внимание, что кнопка "Приостановка" не отправляет запрос на GitHub. Okta отправляет только вызовы с обратимой отменой.
PingFederateПользователь приостановлен, отключен или удален из хранилища пользователей, предназначенных для подготовки.

Триггеры жесткой отмены подготовки

Интеграция SCIMТриггер жесткой отмены подготовки
REST APIЗапрос DELETE отправляется /scim/v2/Users/{scim_user_id}в .
Entra IDЖесткое удаление учетной записи пользователя Entra ID, как описано в документации Майкрософт по жесткому удалению . Пользователи идентификатора записи, которые обратимо удалены (найденные на странице "Пользователи > удаленных пользователей" портала администрирования Entra ID) автоматически удаляются с помощью идентификатора Записи 30 дней после обратимого удаления.
OktaНедоступно Okta не отправляет вызовы с жесткой отменой подготовки.
PingFederateЕсли для параметра "Удалить действие пользователя" задано значение "Удалить" вместо "Отключить" в результате неправильной настройки, это действие отправит вызов жесткой отмены подготовки. См. документацию по PingIdentity.

Восстановление учетной записи пользователя, которая была обратимо отключена

Чтобы восстановить сведения о доступе и учетной записи пользователя, вы можете повторно представить учетную запись пользователя, который был обратимо отключен, если учетная запись пользователя поставщика удостоверений совпадает. Учетная запись пользователя IdP должна быть той же, поскольку учетная запись пользователя с обратимой отменой по-прежнему связана с этим внешним удостоверением, основываясь на идентификаторе SCIM (идентификатор объекта пользователя IdP) и SCIM external ID User ID. Внешнее удостоверение, связанное с отдельной учетной записью пользователя с обратимой отменой, нельзя изменить.

Последствия повторной подготовки

  • Пользователь не используется и восстанавливает доступ к вашей организации.
  • Имя пользователя и адрес электронной почты восстанавливаются.
  • Если пользователь является членом группы поставщика удостоверений, подготовленной SCIM, сопоставленной с командой в организации, пользователь будет добавлен в организацию сразу после повторной подготовки учетной записи пользователя. Если они были ранее членом организации, их членство будет восстановлено, если с момента их удаления не было более 90 дней. См . раздел AUTOTITLE.
  • Если пользователь не является членом группы поставщика удостоверений, подготовленной SCIM, сопоставленной команде в организации, владелец организации GitHub потребуется вручную добавить свою учетную запись пользователя в организацию после повторной подготовки.
  • Удаленные вилки восстанавливаются, если пользователь не используется до 90 дней после приостановки.
  • Элементы, связанные с пользователем, восстанавливаются, в том числе:
    • GitHub Apps, OAuth appsи авторизации приложений
    • Personal access tokens
    • Ключи SSH
    • Авторизация маркера и ключа
    • Репозитории, принадлежащие пользователю

Действия, которые активируют повторную подготовку

Способ повторной подготовки пользователя зависит от интеграции SCIM и действия, активировав обратимое удаление.

Реализация SCIMДействие для повторной подготовки пользователей
Entra IDПовторно создайте отключенную учетную запись или переназначите пользователя приложению напрямую или через назначенную группу. Подождите 40 минут, пока изменения будут обработаны, или ускоритесь с помощью кнопки "Подготовка по запросу".
OktaПовторно активируйте учетную запись или переназначьте пользователя приложению напрямую или через группу.
PingFederateОтменять или повторно добавлять пользователя в хранилище пользователей или считывать пользователя в группу хранилища данных или фильтр, предназначенный для подготовки.
REST APIPUT Отправьте или PATCH отправьте запрос/scim/v2/Users/{scim_user_id}, обновив поле пользователя active до true.

Восстановление учетной записи пользователя, которая была жестко отключена

Не удается восстановить учетную запись пользователя GitHub, которая была жестко отменена с помощью SCIM. Вместо этого необходимо подготовить новую учетную запись GitHub для пользователя.

При подготовке новой учетной записи можно повторно использовать имя пользователя, который жестко отозван. Однако невозможно объединить учетную запись пользователя с новой учетной записью пользователя на GitHub.

  • Если адреса электронной почты жестко отозванного пользователя и нового пользователя совпадают, GitHub будет атрибутировать существующие фиксации Git, связанные с адресом электронной почты новому пользователю.
  • Существующие ресурсы и комментарии, созданные исходным пользователем , не будут связаны с новым пользователем.

События журнала аудита

В журнале аудита для вашего предприятия отображаются сведения о действиях в организации. Журнал аудита можно использовать для поддержки конфигурации SCIM. Дополнительные сведения см. в разделе Сведения о журнале аудита для предприятия.

Внимание

Настоятельно рекомендуется использовать корпоративный владелец журнала аудита, такие как потоковая передача журналов аудита, раскрытие ip-адресов источника и возможность потоковой передачи запросов API. Потоковая передача этих событий позволяет администраторам задать политику хранения журналов, которая соответствует потребностям своего бизнеса и использовать предпочитаемое средство для запроса этих журналов.

События для обратимой отмены подготовки

При обратимой отмене подготовки пользователя external_identity.update событие не отображается в журнале аудита. В журнале аудита отображаются следующие события:

  • user.suspend
  • user.remove_email
  • user.rename
  • external_identity.deprovision
  • Если запрос выполнен успешно, external_identity.scim_api_success
  • Если запрос завершается ошибкой, external_identity.scim_api_failure
  • Если пользователь является членом любых групп поставщика удостоверений, сопоставленных с командами, team.remove_member
  • Если членство пользователя в организации управляется idP, и они удаляются из всех команд, сопоставленных с группами поставщика удостоверений в организации, org.remove_member

События для жесткой отмены подготовки

  • external_identity.deprovision
  • user.remove_email
  • Если запрос выполнен успешно, external_identity.scim_api_success
  • Если запрос завершается ошибкой, external_identity.scim_api_failure
  • Если пользователь является членом любых групп поставщика удостоверений, сопоставленных с командами, team.remove_member
  • Если членство пользователя в организации управляется idP, и они удаляются из всех команд, сопоставленных с группами поставщика удостоверений в организации, org.remove_member

События для повторной подготовки

При повторной активации пользователя external_identity.update событие не отображается в журнале аудита. В журнале аудита отображаются следующие события:

  • user.unsuspend
  • user.remove_email
  • user.rename
  • external_identity.provision
  • Если запрос выполнен успешно, external_identity.scim_api_success
  • Если запрос завершается ошибкой, external_identity.scim_api_failure
  • Если пользователь является членом группы поставщика удостоверений, подготовленной SCIM, и эта группа сопоставляется с командой в организации, org.add_member

Дополнительные материалы