Konfigurieren der SCIM-Bereitstellung für vom Unternehmen verwaltete Benutzer

Sie können den Lebenszyklus der Benutzerkonten Ihres Unternehmens von Ihrem Identitätsanbieter (IdP) mithilfe von System for Cross-Domain Identity Management (SCIM) verwalten.

Wer kann dieses Feature verwenden?

Enterprise Managed Users ist für neue Unternehmenskonten auf GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

In diesem Artikel

Zum Erstellen, Verwalten und Deaktivieren von Benutzerkonten für Ihre Unternehmensmitglieder auf GitHub mussmuss Ihr IdP SCIM für die Kommunikation mit GitHub implementieren. SCIM ist eine offene Spezifikation für die Verwaltung von Benutzeridentitäten zwischen Systemen. Verschiedene IdPs bieten unterschiedliche Erfahrungen für die Konfiguration der SCIM-Bereitstellung.

Wenn Sie einen Partner-IdP verwenden, können Sie die Konfiguration der SCIM-Bereitstellung mithilfe der Anwendung des Partner-IdP vereinfachen. Wenn Sie keinen Partner-IdP für die Bereitstellung verwenden, können Sie SCIM mithilfe von Aufrufen von REST-API für SCIM von GitHub implementieren. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

Informationen zur Verwaltung des Benutzerlebenszyklus mit SCIM

Mit SCIM verwalten Sie den Lebenszyklus von Benutzerkonten aus Ihrem IdP:

  • Nachdem Sie die Bereitstellung für Enterprise Managed Users konfiguriert haben, verwendet Ihr IdP SCIM, um Benutzerkonten für GitHub bereitzustellen und die Konten zu Ihrem Unternehmen hinzuzufügen. Wenn Sie der Anwendung in Ihrem IdP eine Gruppe zuweisen, stellt Ihr IdP Konten für alle Mitglieder der Gruppe bereit.
  • Wenn Sie die Informationen aktualisieren, die der Identität eines Benutzers auf Ihrem IdP zugeordnet sind, aktualisiert Ihr IdP das Konto des Benutzers auf GitHub.
  • Wenn Sie die Zuweisung eines Benutzers von der IdP-Anwendung aufheben oder ein Benutzerkonto bei Ihrem Identitätsanbieter deaktivieren, kommuniziert Ihr Identitätsanbieter mit GitHub, sodass alle Sitzungen ungültig gemacht werden und das Konto des Mitglieds deaktiviert wird. Die Informationen des deaktivierten Kontos werden gespeichert und der Benutzername wird in einen Hash des ursprünglichen Benutzernamens geändert, wobei der Kurzcode (sofern zutreffend) angefügt wurde.
  • Wenn Sie einen Benutzer der IdP-Anwendung zuweisen oder sein Konto auf Ihrem IdP reaktivieren, wird das Benutzerkonto reaktiviert, und der Benutzername wird wiederhergestellt.

Wenn du die Team- und Organisationsmitgliedschaft, den Repositoryzugriff oder Berechtigungen konfigurieren möchtest, kannst du Gruppen auf deinem Identitätsanbieter verwenden. Weitere Informationen finden Sie unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.

Voraussetzungen

Wenn Sie die SCIM-Bereitstellung für ein neues Unternehmen konfigurieren, müssen Sie alle vorherigen Schritte bei der Erstkonfiguration ausführen. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.

Einrichten der Benutzerbereitstellung für Enterprise Managed Users

Nach Abschluss des Setups für GitHub können Sie die Bereitstellung auf Ihrem IdP konfigurieren. Die Anweisungen, die Sie befolgen sollten, unterscheiden sich je nachdem, ob Sie die Anwendung eines Partner-IdP für die Authentifizierung und Bereitstellung verwenden.

Konfigurieren der Bereitstellung, wenn Sie die Anwendung eines Partner-IdP verwenden

Wenn Sie die Anwendung eines Partner-IdP sowohl für die Authentifizierung als auch für die Bereitstellung verwenden möchten, lesen Sie die Anweisungen des Partners zum Konfigurieren der Bereitstellung in den Links in der folgenden Tabelle.

IdP (Identitätsanbieter)SSO-MethodeAnweisungen
Microsoft Entra ID (früher bekannt als Azure AD)OIDC
          [Tutorial: Konfigurieren von GitHub Enterprise Managed User (OIDC) für die automatische Benutzerbereitstellung](https://docs.microsoft.com/azure/active-directory/saas-apps/github-enterprise-managed-user-oidc-provisioning-tutorial) auf Microsoft Learn |

| Entra ID | SAML | Tutorial: Konfiguration eines von GitHub Enterprise verwalteten Benutzers für die automatische Benutzerbereitstellung in Microsoft Learn | | Okta | SAML | Konfigurieren der SCIM -Bereitstellung mit Okta | | PingFederate | SAML | Die Abschnitte „Voraussetzungen“ und „2. Konfigurieren von SCIM-Abschnitten in Konfigurieren von Authentifizierung und Bereitstellung mit PingFederate |

Konfigurieren der Bereitstellung für andere Identitätsverwaltungssysteme

Wenn Sie keinen Partner-IdP verwenden oder nur einen Partner-IdP für die SAML-Authentifizierung verwenden, können Sie den Lebenszyklus von Benutzerkonten mithilfe der REST-API-Endpunkte von GitHub für die SCIM-Bereitstellung verwalten. Weitere Informationen findest du unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Hinweis

Die Verwendung der REST-API für die SCIM-Bereitstellung wird für Unternehmen, die für OIDC aktiviert sind, nicht unterstützt.

GitHub unterstützt nicht ausdrücklich das Mischen von Partner-IdPs für die Authentifizierung und Bereitstellung und testet nicht alle Identitätsverwaltungssysteme. Das GitHub-Supportteam ist möglicherweise nicht in der Lage, Ihnen bei Problemen im Zusammenhang mit gemischten oder ungetesteten Systemen zu helfen. Wenn Sie Hilfe benötigen, müssen Sie die Dokumentation, das Supportteam oder andere Ressourcen des Systems konsultieren.

Wichtig

Die Kombination aus Okta und Entra ID für SSO und SCIM (in beliebiger Reihenfolge) wird explizit nicht unterstützt. Die SCIM-API von GitHub gibt bei Bereitstellungsversuchen einen Fehler an den Identitätsanbieter zurück, wenn diese Kombination konfiguriert ist.

  1. Melde dich als Setupbenutzer für dein Unternehmen mit dem Benutzernamen SHORTCODE_admin an, und ersetze SHORTCODE durch den Kurzcode deines Unternehmens.

    Hinweis

    Wenn du das Kennwort für deinen Setupbenutzer zurücksetzen musst, wende dich über das GitHub-Support an den GitHub-Supportportal. Die übliche Option für die Kennwortzurücksetzung (E-Mail-Adresse angeben) funktioniert nicht.

  2. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.

  3. Klicke oben auf der Seite auf Identity provider.

  4. Klicke unter Identity Provider auf Single sign-on configuration.

  5. Wählen Sie unter „Open SCIM Configuration“ die Option „Enable open SCIM Configuration“ aus.

  6. Verwalten Sie den Lebenszyklus Ihrer Benutzer, indem Sie Aufrufe an die REST-API-Endpunkte für die SCIM-Bereitstellung tätigen. Weitere Informationen findest du unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Zuweisen von Benutzern und Gruppen

Nachdem Sie die Authentifizierung und Bereitstellung konfiguriert haben, können Sie neue Benutzer auf GitHub bereitstellen, indem Sie der GitHub Enterprise Managed UserAnwendungrelevanten Anwendung in Ihrer IdP Benutzer oder Gruppen zuweisen.

Beim Zuweisen von Benutzenden kannst du das Attribut „Roles“ in der Anwendung deines IdP verwenden, um die Rolle eines Benutzers in deinem Unternehmen festzulegen. Weitere Informationen zu den Rollen, die zugewiesen werden können, findest du unter Fähigkeiten von Rollen in einem Unternehmen.

Entra ID unterstützt die Bereitstellung geschachtelter Gruppen nicht. Weitere Informationen finden Sie unter Wie die Anwendungsbereitstellung in Microsoft Entra ID funktioniert auf Microsoft Learn.