Note
SCIM para GitHub está atualmente em beta e sujeito a alterações. A recomendação do GitHub é para, primeiro, realizar testes em uma instância de preparo. Confira "Configurar uma instância de preparo".
Para criar, gerenciar e desativar contas de usuário para membros da empresa no GitHub, o IdP pode implementar o SCIM para comunicação com o GitHub. O SCIM é uma especificação aberta para gerenciamento de identidades de usuários entre sistemas. Diferentes IdPs fornecem experiências diferentes para a configuração do provisionamento do SCIM.
Se você usar um provedor de identidade de parceiro, poderá simplificar a configuração do provisionamento do SCIM usando o aplicativo desse provedor. Se você não usar um provedor de identidade de parceiro para provisionamento, poderá implementar o SCIM usando chamadas para a API REST do GitHub do SCIM. Para obter mais informações, confira "Sobre o provisionamento de usuários com o SCIM no GitHub Enterprise Server."
Quem precisa seguir estas instruções?
Mesmo que sua instância já use a autenticação SAML ou se você tiver sido inscrito no beta privada do SCIM em uma versão anterior do GitHub Enterprise Server, certifique-se de ter seguido todas as instruções neste guia para habilitar o SCIM na versão 3.14 e posterior.
Este guia se aplica em qualquer uma das seguintes situações.
- Você está configurando o SAML e o SCIM pela primeira vez: siga estas instruções para começar.
- Você já usa a autenticação SAML: você precisará habilitar o SCIM em sua instância, além de reconfigurar o SAML com um aplicativo IdP que ofereça suporte ao provisionamento automatizado ou configurar uma integração SCIM com a API REST.
- Você foi inscrito no beta privada do SCIM: será necessário reabilitar o SCIM em sua instância e, se estiver usando um IdP de parceiro, reconfigurar suas configurações em um aplicativo IdP atualizado.
Pré-requisitos
- Para autenticação, sua instância deve usar SSO do SAML ou uma combinação de SAML e autenticação integrada.
- Não é possível misturar o SCIM com outros métodos de autenticação externa. Se você usar CAS ou LDAP, precisará migrar para SAML antes de usar o SCIM.
- Depois de configurar o SCIM, você deve manter a autenticação SAML habilitada para continuar usando o SCIM.
- Você deve ter acesso administrativo no seu IdP para configurar o provisionamento de usuários para o GitHub Enterprise Server.
- Você deve ter acesso ao Console de Gerenciamento no GitHub Enterprise Server.
- Se você estiver configurando o SCIM em uma instância com usuários existentes, certifique-se de ter entendido como o SCIM identificará e atualizará esses usuários. Confira "Sobre o provisionamento de usuários com o SCIM no GitHub Enterprise Server".
1. Crie um usuário de configuração integrado
Para garantir que você possa continuar a iniciar sessão e definir as configurações quando o SCIM estiver habilitado, você criará um proprietário corporativo usando a autenticação interna.
-
Inicie sessão no GitHub Enterprise Server como um usuário com acesso ao Console de Gerenciamento.
-
Se você já tiver habilitado a autenticação SAML, certifique-se de que suas configurações permitam criar e promover um usuário de configuração integrado. Vá para a seção "Autenticação" do Console de Gerenciamento e habilite as seguintes configurações:
- Selecione Permitir a criação de contas com autenticação interna para que você possa criar o usuário.
- Selecione Desabilitar rebaixamento/promoção de administrador para que as permissões de administrador possam ser concedidas fora do seu provedor SAML.
Para obter ajuda para encontrar essas configurações, consulte "Configurar o logon único SAML para sua empresa".
-
Crie uma conta de usuário integrada para executar ações de provisionamento em sua instância. Confira "Como permitir a autenticação interna para usuários de fora do seu provedor".
Note
Verifique se o e-mail e o nome de usuário do usuário são diferentes de qualquer usuário que você planeja provisionar por meio do SCIM. Se o seu provedor de e-mail for compatível, você poderá modificar um endereço de e-mail adicionando
+admin
, por exemplojohndoe+admin@example.com
. -
Promova o usuário a um proprietário de empresa. Confira "Promover ou rebaixar administradores de site".
2. Crie um personal access token
-
Inicie sessão na instância como o usuário de configuração interno que você criou na seção anterior.
-
Crie um personal access token (classic). Para obter instruções, consulte "Gerenciar seus tokens de acesso pessoal".
- O token deve ter o escopo
scim:enterprise
. - O token não deve ter expiração. Se você especificar uma data de validade, o SCIM não funcionará mais após a data de validade.
- O token deve ter o escopo
-
Armazene o token com segurança em um gerenciador de senhas até que você precise do token novamente posteriormente no processo de configuração. Você precisará do token para configurar o SCIM em seu IdP.
3. Habilite o SAML em sua instância
Note
Conclua esta seção se qualquer uma das seguintes situações se aplicar:
- Se você ainda não ativou a autenticação SAML, precisará fazê-lo antes de habilitar o SCIM.
- Se você já usar a autenticação SAML e desejar usar um IdP de parceiro para autenticação e provisionamento, ou se estiver atualizando do beta privada do SCIM, deverá reconfigurar o SAML usando um novo aplicativo.
-
Inicie sessão na sua instância como um usuário com acesso ao Console de Gerenciamento.
-
Vá para a seção "Autenticação" do Console de Gerenciamento. Para obter instruções, consulte "Configurar o logon único SAML para sua empresa".
-
Selecione SAML.
-
Defina as configurações de SAML de acordo com seus requisitos e o IdP que você está usando.
- Para que o usuário de configuração interno possa continuar a autenticar, certifique-se de selecionar as seguintes configurações:
- Permitir a criação de contas com a autenticação interna
- Desativar rebaixamento/promoção de administrador
- Se você estiver usando um IdP de parceiro, para encontrar as informações necessárias para definir as configurações, siga a seção "Configurar SAML" do guia relevante.
- Para que o usuário de configuração interno possa continuar a autenticar, certifique-se de selecionar as seguintes configurações:
-
Opcionalmente, conclua a configuração das opções de SAML dentro do aplicativo em seu IdP. Esta etapa pode ser deixada para mais tarde.
4. Habilite o SCIM em sua instância
-
Inicie sessão na instância como o usuário de configuração interno que você criou anteriormente.
-
In the top-right corner of GitHub, click your profile photo, then click Your enterprise.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Em Configurações, clique em Segurança da autenticação.
-
Em "Configuração do SCIM", selecione Habilitar configuração do SCIM.
5. Configure o provedor de identidade
Depois de concluir a configuração no GitHub, você poderá configurar o provisionamento em seu IdP. As instruções que você deve seguir diferem dependendo se você usa um aplicativo de IdP parceiro para autenticação e provisionamento.
- Como configurar o provisionamento se você usa um aplicativo de IdP parceiro
- Como configurar o provisionamento para outros sistemas de gerenciamento de identidades
Como configurar o provisionamento se você usa um aplicativo de IdP parceiro
Para usar o aplicativo de um IdP de parceiro para autenticação e provisionamento, revise as instruções vinculadas abaixo. Conclua as etapas para habilitar o SCIM, além de qualquer configuração de SAML que você ainda não tenha executado.
- "Configurando a autenticação e o provisionamento com o Entra ID"
- "Configurar autenticação e provisionamento com PingFederate"
- "Configurando a autenticação e o provisionamento com o Okta"
Como configurar o provisionamento para outros sistemas de gerenciamento de identidades
Se você não usar um IdP parceiro ou se usar apenas um IdP parceiro para autenticação, poderá gerenciar o ciclo de vida das contas de usuário usando os pontos de extremidade da API REST do GitHub para provisionamento do SCIM. Confira "Provisionar usuários e grupos com SCIM usando a API REST".
6. Desative as configurações opcionais
Depois de concluir o processo de configuração, você poderá desativar as seguintes configurações no Console de Gerenciamento:
- Permitir a criação de contas com autenticação interna: desabilite essa configuração se quiser que todos os usuários sejam provisionados do seu IdP.
- Desabilitar rebaixamento/promoção de administrador: desabilite essa configuração se quiser conceder a função de proprietário da empresa via SCIM.
7. Atribua usuários e grupos
Depois de configurar a autenticação e o provisionamento, você poderá provisionar novos usuários no GitHub ao atribuir usuários ou grupos ao aplicativo relevante em seu IdP.
Ao atribuir aos usuários, você poderá usar o atributo "Funções" no aplicativo em seu IdP para definir a função de um usuário na empresa no GitHub Enterprise Server. Para saber mais sobre as funções disponíveis para atribuição, confira "Funções em uma empresa".
O Entra ID não dá suporte ao provisionamento de grupos aninhados. Para obter mais informações, confira Como funciona o provisionamento de aplicativos no Microsoft Entra ID no Microsoft Learn.