ゲスト コラボレーターの有効化

ゲストコラボレーターについて

ゲスト コラボレーターのロールを使用して、ベンダーや契約社員に限定的なアクセス権を付与できます。 ゲスト コラボレーターについての説明は以下のとおりです。

• すべての マネージド ユーザー アカウント と同様に、IdP によってプロビジョニングされます。
• Organization のメンバーとして、またはリポジトリのコラボレーターとして追加できます。
• メンバーとして追加されている Organization を除き、Enterprise 内の内部リポジトリにはアクセスできません。

ゲスト コラボレーターを有効化

認証に Microsoft Entra ID (旧称 Azure AD) または Okta を使用する場合は、IdP で Enterprise Managed Users アプリケーションの更新が必要です。

• Entra IDを使用したゲストコラボレータの有効化
• Oktaによるゲストコラボレーターの有効化

Entra IDを使用したゲストコラボレータの有効化

1. Microsoft Azure portal にサインインします。

2. [ID] をクリックします。

3. [アプリケーション] をクリックします。

4. [エンタープライズ アプリケーション] をクリックします。

5. [すべてのアプリケーション] をクリックします。

6. Enterprise Managed Users アプリケーションの詳細を表示する

7. 左側のサイド バーで [ユーザーとグループ] をクリックします。

8. アプリケーションの登録を表示します。

   • アプリケーションの登録に "制限付きユーザー" ロールまたは "ゲストコラボレーター" ロールが表示される場合は、いつでもゲストコラボレーターをエンタープライズに招待できます。
   • アプリケーションの登録にそれらのロールが表示されない場合は、次の手順に進みます。

9. Azure Portal で、[アプリの登録] をクリックします。

10. [すべてのアプリケーション] をクリックし、検索バーを使用して Enterprise Managed Users のアプリケーションを検索します。

11. SAML または OIDC アプリケーションをクリックします。

12. 左側のサイド バーで、[マニフェスト] をクリックします。

13. マニフェスト ファイル内で次の id 1ebc4a02-e56c-43a6-92a5-02ee09b90824 を検索します。

    • id が存在しない場合は、次の手順に進みます。
    • id が存在する場合は、値 description と値 displayName を確認します。 値がGuest Collaboratorに設定 されていない場合は、両方の名前を変更して、手順 15 に進むことができます。

14. オブジェクト appRoles の下に、次のブロックを追加します。

    {
      "allowedMemberTypes": [
        "User"
      ],
      "description": "Guest Collaborator",
      "displayName": "Guest Collaborator",
      "id": "1ebc4a02-e56c-43a6-92a5-02ee09b90824",
      "isEnabled": true,
      "lang": null,
      "origin": "Application",
      "value": null
    },
    

    注: id 値は重要です。 別の id 値が存在する場合、更新は失敗します。

15. [保存] をクリックします。

Oktaによるゲストコラボレーターの有効化

Okta アプリケーションにゲスト コラボレーター ロールを追加するには

1. Okta の Enterprise Managed Users のアプリケーションに移動します。

2. [プロビジョニング] をクリックします。

3. [プロファイル エディターに移動] をクリックします。

4. プロファイル エディターの下部にある [ロール] を見つけて、編集アイコンをクリックします。

5. 新しいロールを追加します。

   • [表示名] に「Guest Collaborator」と入力します。
   • [値] に「guest_collaborator」と入力します。

6. [保存] をクリックします。

ゲスト コラボレーターをエンタープライズに追加する

IdP でゲスト コラボレーターが有効になっている場合、SCIM を使用して、 guest_collaborator ロールを持つユーザーをプロビジョニングできます。

• パートナー IdP を使用する場合、Enterprise Managed Users アプリケーションで "Roles" 属性を使用します。
• GitHub の REST API の SCIM エンドポイントを使用してユーザーをプロビジョニングする場合、 roles ユーザー属性を使用します。

パートナー IDP およびその他の ID 管理システムの詳細は、「Enterprise Managed Users について」を参照してください。

ゲストコラボレーターにリソースへのアクセス権を付与

ゲスト コラボレーターを企業に追加した場合、特定の組織またはリポジトリにユーザーを追加できます。

ユーザーを組織に追加

Organization 内のリポジトリへのアクセス権をユーザーに付与するには、そのユーザーを Organization メンバーとして追加します。

• すべてのメンバーと同様に、組織の基本権限ポリシーによって、ユーザーがデフォルトで内部リポジトリとプライベートリポジトリにアクセスできるかどうかが決定されます。 「Organization の基本レベルの権限の設定」を参照してください。
• ゲスト コラボレーターは、GitHub チームに接続され、他のエンタープライズ メンバーと同様に SCIM を介して組織に追加される IdP グループのメンバーにすることができます。 「ID プロバイダー グループを使用したチーム メンバーシップの管理」を参照してください。

リポジトリにユーザーを追加する

ユーザーに特定のリポジトリへのアクセス権を付与するには、ユーザーをリポジトリ コラボレーターとしてリポジトリに追加します。

これにより、ユーザーは同じ Organization 内のその他の内部リポジトリまたはプライベート リポジトリにアクセスしなくても、リポジトリにアクセスできるようになります。 詳しくは、「Organizationのロール」を参照してください。

参考資料

• チュートリアル: Microsoft Entra ID ドキュメントでの GitHub Enterprise Managed User の自動ユーザープロビジョニングの構成
• PingIdentityのドキュメントで、プロビジョニングとSSOのためにPingFederateを設定します
• Okta を使用した SCIM プロビジョニングの構成
• 「REST API を使用した SCIM でユーザーとグループのプロビジョニング」