À propos de SCIM pour les organisations
Si votre organisation utilise l’authentification unique SAML, vous pouvez implémenter SCIM pour ajouter, gérer et supprimer l’accès des membres de l’organisation à GitHub Enterprise Cloud. Par exemple, un administrateur peut déprovisionner un membre d’une organisation en utilisant SCIM et supprimer automatiquement le membre de l’organisation.
Remarque : Pour utiliser l’authentification unique SAML, votre organisation doit utiliser GitHub Enterprise Cloud. Pour plus d’informations sur la façon d’essayer gratuitement GitHub Enterprise Cloud, consultez « Configuration d’un essai de GitHub Enterprise Cloud ».
Vous ne pouvez pas utiliser cette implémentation de SCIM avec un compte d’entreprise ou un organisation avec utilisateurs managés. Si votre entreprise est activée pour Enterprise Managed Users, vous devez utiliser une implémentation différente de SCIM. Sinon, SCIM n’est pas disponible au niveau de l’entreprise. Pour plus d’informations, consultez « Configurer l’approvisionnement SCIM pour les utilisateurs gérés par l’entreprise ».
Si vous utilisez l’authentification unique SAML sans implémenter SCIM, vous n’aurez pas de déprovisionnement automatique. Quand les sessions des membres d’une organisation expirent après la suppression de leur accès auprès du fournisseur d’identité, elles ne sont pas supprimées automatiquement de l’organisation. Les jetons autorisés accordent l’accès à l’organisation même après l’expiration de leurs sessions. Si SCIM n’est pas utilisé, pour supprimer entièrement l’accès d’un membre, un propriétaire de l’organisation doit supprimer l’accès du membre dans le fournisseur d’identité et supprimer manuellement le membre de l’organisation sur GitHub.
Si l’approvisionnement de SCIM est implémenté pour votre organisation, toutes les modifications apportées à l’appartenance à l’organisation d’un utilisateur devraient être déclenchées à partir du fournisseur d’identité. Si un utilisateur est invité à une organisation manuellement plutôt que par une intégration de SCIM existante, il se peut que son compte d’utilisateur ne soit pas correctement lié à son identité SCIM. Cela peut empêcher le déprovisionnement du compte d’utilisateur via SCIM à l’avenir. Si un utilisateur est supprimé manuellement plutôt que par une intégration SCIM existante, une identité liée obsolète subsiste, qui peut occasionner des problèmes si l’utilisateur a besoin de rejoindre à nouveau l’organisation.
Fournisseurs d’identité pris en charge
Ces fournisseurs d’identité sont compatibles avec l’API SCIM GitHub Enterprise Cloud pour les organisations. Pour plus d’informations, consultez « Points de terminaison d’API REST pour SCIM ».
- Microsoft Entra ID (actuellement appelé Azure AD)
- Okta
- OneLogin
À propos de la configuration SCIM pour les organisations
Pour utiliser SCIM avec votre organisation, vous devez utiliser une OAuth app tierce. OAuth app doit être autorisé par et par la suite agir pour le compte d’un utilisateur GitHub spécifique. Si l’utilisateur qui a autorisé cette OAuth app quitte ou est supprimé de l’organisation, SCIM cesse de fonctionner. Pour éviter ce problème, nous vous recommandons de créer un compte d’utilisateur dédié pour configurer SCIM. Ce compte d’utilisateur doit être propriétaire de l’organisation et consommera une licence.
Avant d’autoriser OAuth app, vous devez avoir une session SAML active. Pour plus d’informations, consultez « À propos de l’authentification unique SAML ».
Remarque : Le fournisseur d’identité SAML et le client SCIM doivent utiliser des valeurs NameID
et userName
correspondantes pour chaque utilisateur. Ce processus permet à un utilisateur s’authentifiant via SAML d’être lié à son identité SCIM approvisionnée.