Konfigurieren der SCIM-Authentifizierung -Bereitstellung mit Okta

Erfahren Sie, wie Sie Okta für die Kommunikation mit Ihrem UnternehmenGitHub.com konfigurieren.GHE.com

Wer kann dieses Feature verwenden?

People with admin access to the IdP

Enterprise Managed Users ist für neue Unternehmenskonten auf GitHub Enterprise Cloud verfügbar. Weitere Informationen findest du unter Informationen zu Enterprise Managed Users.

In diesem Artikel

Informationen zur Bereitstellung mit Okta

Wenn Sie Okta als IdP verwenden, können Sie die Anwendung von Okta verwenden, um Benutzerkonten bereitzustellen, die Unternehmensmitgliedschaft zu verwalten und Teammitgliedschaften für Organisationen in Ihrem Unternehmen zu verwalten. Okta ist ein Partner-IdP, sodass Sie Ihre Authentifizierungs- und Bereitstellungskonfiguration mithilfe der Okta-Anwendung für Enterprise Managed Usersvereinfachen können. Weitere Informationen finden Sie unter Informationen zu Enterprise Managed Users.

Alternativ dazu können Sie, wenn Sie Okta nur für die SAML-Authentifizierung verwenden und für die Provisionierung einen anderen IdP nutzen möchten, die REST-API von GitHub für SCIM integrieren. Weitere Informationen finden Sie unter Bereitstellen von Benutzern und Gruppen mit SCIM mithilfe der REST-API.

Unterstützte Funktionen

Enterprise Managed Users

unterstützt die folgenden Bereitstellungsfeatures für Okta.

FunktionBESCHREIBUNG
Push neuer BenutzerBenutzer, die in Okta der Anwendung von dem GitHub Enterprise Managed User zugewiesen sind, werden im Unternehmen auf GitHub automatisch erstellt.
Push-ProfilaktualisierungÄnderungen am Benutzerprofil in Okta werden an GitHub übertragen.
Push-GruppenGruppen in Okta, die der GitHub Enterprise Managed Usersind, werden automatisch im Unternehmen GitHuberstellt.
Push Benutzer-DeaktivierungWenn Sie die Zuweisung des Benutzers zur Anwendung von dem GitHub Enterprise Managed User in Okta aufheben, wird der Benutzer bei GitHub deaktiviert. Der Benutzer kann sich nicht anmelden, aber die Informationen des Benutzers werden beibehalten.
Benutzer reaktivierenBenutzer in Okta, deren Okta-Konten reaktiviert werden und die in Okta erneut der Anwendung von GitHub Enterprise Managed User zugewiesen werden, werden aktiviert.

Hinweis

Enterprise Managed Users unterstützt keine Änderungen an Benutzernamen.

Voraussetzungen

Wenn Sie die SCIM-Bereitstellung für ein neues Unternehmen konfigurieren, müssen Sie alle vorherigen Schritte bei der Erstkonfiguration ausführen. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.

Außerdem:

  • Sie müssen die Anwendung von Okta sowohl für die Authentifizierung als auch für die Bereitstellung verwenden.
  • Ihr Okta-Produkt muss System for Cross-Domain Identity Management (SCIM) unterstützen. Wegen weiteren Informationen können Sie die Dokumentation von Okta heranziehen oder sich an das Supportteam von Okta wenden.

Konfigurieren von SCIM

Du kannst die Bereitstellungseinstellungen konfigurieren, sobald du die SAML-Einstellungen in der Okta-App konfiguriert hast. Wenn du die SAML-Einstellungen noch nicht konfiguriert hast, lies Konfigurieren von SAML Single Sign-On mit Okta für verwaltete Enterprise-Benutzer*innen.

Um die Bereitstellung zu konfigurieren, muss der Setupbenutzer mit dem @SHORT-CODE_admin Benutzername einen personal access token (classic)Scim:Enterprise-Bereich bereitstellen. Weitere Informationen findest du unter Erste Schritte mit Enterprise Managed Users.

  1. Navigieren Sie zu Ihrer GitHub Enterprise Managed User Anwendung auf Okta.

  2. Klicke auf die Registerkarte Bereitstellung.

  3. Klicke im Einstellungsmenü auf Integration.

  4. Klicke auf Edit (Bearbeiten), um Änderungen vorzunehmen.

  5. Klicke auf API-Integration konfigurieren.

  6. Geben Sie im Feld „API-Token“ das personal access token (classic) des Einrichtungsbenutzers ein.

    Hinweis

    „Gruppen importieren“ wird von GitHub nicht unterstützt. Das Aktivieren oder Deaktivieren des Kontrollkästchens hat keine Auswirkungen auf deine Konfiguration.

    Wichtig

    Für ein Unternehmen auf GitHub Enterprise-Cloud mit Datenresidenz (GHE.com) geben Sie bitte die folgende URL in das Feld Basis-URL ein: https://api.{subdomain}.ghe.com/scim/v2/enterprises/{subdomain} (ersetzen Sie dabei {subdomain} durch die Subdomain Ihres Unternehmens).

Beispiel: Wenn die Unterdomäne Ihres Unternehmens lautet acme, lautet https://api.acme.ghe.com/scim/v2/enterprises/acmedie Basis-URL .

  1. Klicke auf API-Anmeldeinformationen testen. Wenn der Test erfolgreich ist, wird oben auf dem Bildschirm eine Überprüfungsmeldung angezeigt.
  2. Klicke zum Speichern des Tokens auf Save (Speichern).
  3. Klicken Sie im Einstellungsmenü auf To App.
  4. Klicke rechts neben „Provisioning to App“ (Bereitstellung für App) auf Edit (Bearbeiten), damit Änderungen vorgenommen werden können.
  5. Wähle rechts von Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren die Option Aktivieren aus.
  6. Klicke auf Speichern (Save), um die Konfiguration der Bereitstellung abzuschließen.

Wie weise ich Benutzern und Gruppen zu?

Nachdem Sie die Authentifizierung und Bereitstellung konfiguriert haben, können Sie neue Benutzer auf GitHub bereitstellen, indem Sie der GitHub Enterprise Managed UserAnwendungrelevanten Anwendung in Ihrer IdP Benutzer oder Gruppen zuweisen.

Hinweis

Weise der SCIM-Integration bei deinem Identitätsanbieter maximal 1.000 Benutzerkonten pro Stunde zu, um eine Überschreitung der Ratenbegrenzung für GitHub zu vermeiden. Wenn du Gruppen verwendest, um der Identitätsanbieteranwendung Benutzerinnen hinzuzufügen, füge den einzelnen Gruppen jeweils maximal 1,000 Benutzerinnen pro Stunde hinzu. Bei Überschreitung dieser Schwellenwerte tritt bei der Benutzerbereitstellung möglicherweise ein Ratenlimitfehler auf, und die Bereitstellung ist nicht erfolgreich. Du kannst deine IdP-Protokolle überprüfen, um zu bestätigen, ob versuchte SCIM-Bereitstellungen oder Pushvorgänge aufgrund eines Fehlers bei der Ratenbegrenzung fehlgeschlagen sind. Die Antwort auf einen fehlgeschlagenen Bereitstellungsversuch hängt vom IdP ab. Weitere Informationen findest du unter Problembehandlung bei der Identitäts- und Zugriffsverwaltung deines Unternehmens.

Du kannst die Organisationsmitgliedschaft auch automatisch verwalten, indem du Gruppen zur Registerkarte „Push Groups“ in Okta hinzufügst. Wenn die Gruppe erfolgreich bereitgestellt wird, kann sie mit Teams in den Organisationen des Unternehmens verbunden werden. Weitere Informationen zum Verwalten von Teams findest du unter Verwaltung von Teammitgliedschaften mithilfe von Identitätsanbieter-Gruppen.

Beim Zuweisen von Benutzenden kannst du das Attribut „Roles“ in der Anwendung deines IdP verwenden, um die Rolle eines Benutzers in deinem Unternehmen festzulegen. Weitere Informationen zu den Rollen, die zugewiesen werden können, findest du unter Fähigkeiten von Rollen in einem Unternehmen.

Hinweis

Du kannst das Attribut „Rollen“ nur für einzelne Benutzer festlegen, nicht jedoch für Gruppen. Wenn Sie Rollen für alle Benutzer*innen in einer Gruppe festlegen möchten, die der Anwendung in Okta zugewiesen ist, musst du das Attribut „Rollen“ für jedes Gruppenmitglied einzeln festlegen.

Wie deprovisioniere ich Benutzer und Gruppen?

Um einen Benutzer oder eine Gruppe aus GitHubzu entfernen, entfernen Sie den Benutzer oder die Gruppe aus der Registerkarte "Aufgaben" und der Registerkarte "Pushgruppen" in Okta. Stelle für Benutzer*innen sicher, dass sie aus allen Gruppen auf der Registerkarte „Pushgruppen“ entfernt werden.