Si ha habilitado SCIM para tu instancia de GitHub Enterprise Server, usará SCIM para:
- Desaprovisionar usuarios y grupos para quitar su acceso.
- Vuelve a aprovisionar a los usuarios que fueron desaprovisionados anteriormente.
Antes de desaprovisionar un usuario, es importante comprender los efectos del desaprovisionamiento, que dependen del tipo de llamada API de desaprovisionamiento que GitHub recibe del proveedor de identidades.
Importante
Antes de leer más, asegúrate de comprender cómo la empresa ha implementado SCIM. GitHub proporciona una aplicación de "ruta facilitada" si utiliza un proveedor de identidades (IdP) compatible tanto para la autenticación como para el aprovisionamiento. Si no usa una aplicación de ruta facilitada, usará la API REST para realizar solicitudes SCIM. Consulta Acerca del aprovisionamiento de usuarios con SCIM en GitHub Enterprise Server.
Tipos de desaprovisionamiento de usuarios
Cuando se da de baja a un usuario, se suspende la cuenta de GitHub, lo que significa que el usuario no puede acceder a su empresa. Independientemente del tipo de desaprovisionamiento, una cuenta desaprovisionada nunca se elimina de una empresa.
El tipo de llamada de desaprovisionamiento que GitHub recibe del proveedor de identidades determina si es posible anular el aprovisionamiento (restablecer) un usuario desaprovisionado.
-
**Desaprovisionamiento temporal**: en determinados escenarios, el usuario puede dejar de estar suspendido a través de la integración de SCIM. -
**Desaprovisionamiento permanente**: no es posible dejar de suspender al usuario. Se debe aprovisionar una nueva cuenta si la persona necesita recuperar el acceso.
Efectos del desaprovisionamiento de un usuario
Al desaprovisionar una cuenta de usuario, ya sea a través del IdP o la API de REST, GitHub realizará cambios en la cuenta de usuario.
Efectos del desaprovisionamiento temporal
- El usuario se suspende y pierde el acceso a tu empresa y a cualquier recurso privado.
- Una vez suspendida la cuenta de usuario, se mostrará en la página "Miembros suspendidos" en lugar de la página "Miembros" de la sección "Personas" de la configuración empresarial.
- El nombre de usuario del usuario se ofusca en un hash del nombre de usuario original.
- Con Entra ID, la dirección de correo electrónico del usuario sigue siendo la misma. En todos los demás casos, el correo electrónico del usuario está ofuscado.
- La identidad SCIM del usuario permanece vinculada a su cuenta de usuario en GitHub. Con Entra ID, el valor del atributo
activeen su identidad SCIM vinculada almacenada se actualiza deTrueaFalse. - Si el usuario tiene bifurcaciones de repositorios privados o internos, las bifurcaciones se eliminan en un plazo de 24 horas. Las bifurcaciones se restaurarán si el usuario deja de estar suspendido en un plazo de 90 días.
- Si el usuario es miembro de algún grupo de IdP aprovisionado por SCIM, es ocultado de estos grupos y eliminado de los equipos asignados a estos grupos. Ten en cuenta que esto sucede incluso si el usuario sigue siendo miembro del grupo en el lado de IdP.
- Si la pertenencia a la organización la administran los grupos de IdP, el usuario será eliminado de las organizaciones cuando sea eliminado de esos grupos de IdP o de todos los equipos vinculados a grupos de IdP en la organización.
- Si la pertenencia a la organización se administra directamente, el usuario permanecerá como "miembro suspendido" de la organización, sin acceso, hasta que se quite manualmente.
Efectos del desaprovisionamiento permanente
- El usuario se suspende y pierde el acceso a tu empresa y a cualquier recurso privado.
- Una vez suspendida la cuenta de usuario, se mostrará en la página "Miembros suspendidos" en lugar de la página "Miembros" de la sección "Personas" de la configuración empresarial.
- El nombre de usuario del usuario se ofusca en un hash del nombre de usuario original.
- La dirección de correo electrónico del usuario está ofuscada.
- El nombre de visualización del usuario se define como una cadena vacía.
- La identidad de SCIM vinculada del usuario, incluidos todos los atributos SCIM del usuario, se elimina.
- Los personal access tokens, fine-grained personal access tokens, claves SSH, claves GPG y autorizaciones de aplicación del usuario se eliminan. La eliminación de claves puede afectar a la verificación de confirmaciones. Consulta Acerca de la verificación de firma de confirmación.
- Los repositorios propiedad del usuario se eliminan.
- Los recursos creados por el usuario, como los comentarios, se conservan.
- Si el usuario es miembro de algún grupo de IdP aprovisionado por SCIM, es ocultado de estos grupos y eliminado de los equipos asignados a estos grupos. Ten en cuenta que esto sucede incluso si el usuario sigue siendo miembro del grupo en el lado de IdP.
- Si la pertenencia a la organización la administran los grupos de IdP, el usuario será eliminado de las organizaciones cuando sea eliminado de esos grupos de IdP o de todos los equipos asignados a los grupos de IdP de la organización.
- Si la pertenencia a la organización se administra directamente, el usuario permanecerá como "miembro suspendido" de la organización, sin acceso, hasta que se quite manualmente.
Acciones que desencadenan el desaprovisionamiento
Las diferentes acciones desencadenan el desaprovisionamiento temporal y el desaprovisionamiento rígido, y los desencadenadores varían según la integración de SCIM. Por lo general, la mayoría de las acciones que se realizan en las aplicaciones IdP de "ruta específica" solo desencadenan el desaprovisionamiento temporal, con algunas excepciones.
Desencadenadores de desaprovisionamiento suave
| Integración de SCIM | Desencadenador de desaprovisionamiento suave |
|---|---|
| REST API | Se envía una solicitud PUT o PATCH a /scim/v2/Users/{scim_user_id}, actualizando el campo active de un usuario a false. |
| Entra ID | Un usuario está deshabilitado en Entra ID, sin asignación a la aplicación, retirado de todos los grupos asignados o eliminado temporalmente del entorno por el administrador. Para obtener más información, consulta Eliminaciones temporales en la documentación de Microsoft. |
| Okta | Un usuario se desasigna de la aplicación, se elimina de todos los grupos asignados o se desactiva con el botón "Desactivar". Ten en cuenta que el botón "Suspender" no envía una solicitud a GitHub. Okta solo envía llamadas de desaprovisionamiento suave. |
| PingFederate | El usuario se suspende, deshabilita o elimina del almacén de usuarios al que apunta el aprovisionador. |
Desencadenadores de desaprovisionamiento permanente
| Integración de SCIM | Desencadenador de desaprovisionamiento permanente |
|---|---|
| REST API | Se envía una solicitud DELETE a /scim/v2/Users/{scim_user_id}. |
| Entra ID | La eliminación estricta de una cuenta de usuario de Entra ID, como se describe en Eliminaciones estrictas en la documentación de Microsoft. Los usuarios de Entra ID eliminados temporalmente (que se encuentran en la página "Usuarios > usuarios eliminados" del portal de administración de Entra ID) se eliminan automáticamente de forma permanente por Entra ID 30 días después de eliminarse temporalmente. |
| Okta | N/D. Okta no envía llamadas de desaprovisionamiento forzado. |
| PingFederate | Si la configuración de "Quitar acción de usuario" está establecida en "Eliminar" en lugar de "Deshabilitar" como resultado de un error de configuración, esta acción enviará una llamada de desaprovisionamiento permanente. Consulta la documentación de PingIdentity. |
Restablecimiento de una cuenta de usuario desaprovisionada temporalmente
Para restaurar el acceso del usuario y los detalles de la cuenta, puedes volver a aprovisionar la cuenta de un usuario que se desaprovisionó temporalmente, siempre y cuando la cuenta de usuario de IdP sea la misma. La cuenta de usuario de IdP debe ser la misma porque una cuenta de usuario desaprovisionada temporalmente sigue vinculada a esta identidad externa, en función de SCIM external ID (id. de objeto de usuario de IdP) y SCIM User ID. La identidad externa vinculada a una cuenta de usuario con desaprovisionamiento temporal no se puede cambiar.
Efectos del reaprovisionamiento
- El usuario no está suspendido y recupera el acceso a tu empresa.
- El nombre de usuario y la dirección de correo electrónico del usuario se restauran.
- Si el usuario es miembro de un grupo de IdP aprovisionado por SCIM asignado a un equipo de una organización, el usuario se agregará a la organización inmediatamente después de que se vuelva a aprovisionar su cuenta de usuario. Si anteriormente eran miembros de la organización, se restablecerá su pertenencia, siempre y cuando no haya transcurrido más de 90 días desde que se quitaron. Consulta Restablecer a un miembro anterior de su organización.
- Si el usuario no es miembro de un grupo de IdP aprovisionado por SCIM asignado a un equipo de una organización, un propietario de la organización GitHub deberá agregar manualmente su cuenta de usuario a la organización una vez que se vuelva a aprovisionar.
- Las bifurcaciones eliminadas se restauran si se anula la suspensión del usuario dentro de los 90 días posteriores a la suspensión.
- Los elementos asociados al usuario se restauran, entre los que se incluyen:
- GitHub Apps, OAuth apps y autorizaciones de aplicaciones
- Personal access tokens
- Claves SSH
- Autorizaciones de tokens y claves
- Repositorios propiedad del usuario
Acciones que desencadenan el reaprovisionamiento
La forma de volver a aprovisionar un usuario depende de la integración de SCIM y de la acción que desencadenó el desaprovisionamiento suave.
| Implementación de SCIM | Acción para volver a aprovisionar usuarios |
|---|---|
| Entra ID | Vuelve a habilitar una cuenta deshabilitada o vuelve a asignar un usuario a la aplicación, ya sea directamente o a través de un grupo asignado. Espera 40 minutos para que los cambios se procesen o acelera el proceso con el botón "Aprovisionar a petición". |
| Okta | Reactivar la cuenta o reasignar el usuario a la aplicación, ya sea directamente o a través de un grupo. |
| PingFederate | Anule la suspensión o vuelva a habilitar al usuario en el almacén de usuarios, o vuelva a agregar el usuario en el grupo o filtro del almacén de datos al que apunta el aprovisionador. |
| REST API | Envía una solicitud PUT o PATCH a /scim/v2/Users/{scim_user_id}, actualizando el campo active del usuario a true. |
Restablecimiento de una cuenta de usuario desaprovisionada permanentemente
**No se puede** restaurar una cuenta de usuario de GitHub que se desaprovisionó permanentemente a través de SCIM. En su lugar, tendrás que aprovisionar una nueva cuenta de GitHub para el usuario.
Puede reutilizar el nombre de usuario del usuario desaprovisionado permanentemente al aprovisionar la nueva cuenta. Sin embargo, no es posible combinar la cuenta de usuario desaprovisionada permanentemente con la nueva cuenta de usuario en GitHub.
- Si las direcciones de correo electrónico del usuario desaprovisionado permanentemente y el nuevo usuario coinciden, GitHub atribuirá las confirmaciones de Git existentes asociadas a la dirección de correo electrónico al nuevo usuario.
- Los recursos y comentarios existentes creados por el usuario original no se asociarán al nuevo usuario.
Eventos del registro de auditoría
El registro de auditoría de la empresa muestra detalles sobre tu actividad. Puede usar el registro de auditoría para respaldar la configuración de SCIM. Para más información, consulta Registro de auditoría de una empresa.
Importante
Se recomienda encarecidamente que un propietario de la empresa habilite características del registro de auditoría, como el streaming de registros de auditoría, la divulgación de IP de origen y la opción de transmitir solicitudes de API. El streaming de estos eventos permite a los administradores establecer una directiva de retención de registros que se adapte a las necesidades de su negocio y usar sus herramientas preferidas para consultar estos registros.
Eventos para el desaprovisionamiento suave
Cuando se realiza un desaprovisionamiento suave de un usuario, el evento external_identity.update no aparece en el registro de auditoría. Los siguientes eventos aparecen en el registro de auditoría:
user.suspenduser.remove_emailuser.renameexternal_identity.deprovision- Si la solicitud tiene éxito,
external_identity.scim_api_success - Si la solicitud da error,
external_identity.scim_api_failure - Si el usuario es miembro de cualquier grupo de IdP que están asignados a equipos,
team.remove_member - Si la pertenencia de un usuario a una organización es gestionada por el IdP y eliminan al usuario de todos los equipos mapeados a grupos de IdP en la organización,
org.remove_member
Eventos para el desaprovisionamiento permanente
external_identity.deprovisionuser.remove_email- Si la solicitud tiene éxito,
external_identity.scim_api_success - Si la solicitud da error,
external_identity.scim_api_failure - Si el usuario es miembro de algún grupo de IdP que esté asignado a los equipos,
team.remove_member - Si el IdP administra la pertenencia de un usuario en una organización y es removido de todos los equipos asignados a grupos de IdP de la organización,
org.remove_member
Eventos para el reaprovisionamiento
Cuando reactivas un usuario, el evento external_identity.update no aparece en el registro de auditoría. Los siguientes eventos aparecen en el registro de auditoría:
user.unsuspenduser.remove_emailuser.renameexternal_identity.provision- Si la solicitud tiene éxito,
external_identity.scim_api_success - Si la solicitud da error,
external_identity.scim_api_failure - Si el usuario es miembro de un grupo de IdP aprovisionado por SCIM y este grupo se asigna a un equipo de una organización,
org.add_member
Información adicional
-
[AUTOTITLE](/admin/managing-iam/provisioning-user-accounts-with-scim/provisioning-users-and-groups-with-scim-using-the-rest-api)