組織におけるSCIMについて

System for Cross-domain Identity Management (SCIM) を使うと、管理者はユーザの識別情報のシステム間での交換を自動化できます。

この記事で

重要

この記事では、GitHub.com で個人アカウントを使用するエンタープライズに提供されている組織のメンバーシップ管理用の SCIM 統合について説明します。 Enterprise Managed Users または GitHub Enterprise Server のユーザー アカウントをプロビジョニングするための SCIM 統合を探している場合は、「About SCIM for organizations」または「GitHub Enterprise Server での SCIM を使用したユーザー プロビジョニングについて」を参照してください。

組織におけるSCIMについて

Organization で SAML SSO を使う場合は、SCIM を実装して、organization メンバーの GitHub へのアクセス権を追加、管理、削除できます。 たとえば、管理者は Organization のメンバーのデプロビジョニングに SCIM を使い、自動的にメンバーを Organization から削除できます。

データ 再使用可能.saml.ghec限定 %}

SCIM のこの実装は、エンタープライズ アカウントまたは マネージド ユーザーを含む Organization では使えません。 エンタープライズで Enterprise Managed Users が有効になっている場合、SCIM の別の実装を使う必要があります。 それ以外の場合、SCIM はエンタープライズレベルでは使えません。 詳しくは、「About SCIM for organizations」をご覧ください。

SCIM を実装せずに SAML SSO を使用すると、自動プロビジョニング解除は行われません。 Organization メンバーのアクセス権が IdP から削除された後にセッションの有効期限が切れた場合、Organization から自動的に削除されることはありません。 認可済みのトークンにより、セッションが期限切れになった後でも Organization へのアクセス権が付与されます。 SCIM が使われていない場合、メンバーのアクセス権を完全に削除するには、Organization のオーナーが IdP 内のメンバーのアクセス権を削除し、GitHub で Organization からメンバーを手動で削除する必要があります。

SCIM プロビジョニングが組織に実装されている場合、ユーザーの組織メンバーシップに対する変更は ID プロバイダーが始める必要があります。 ユーザーが既存の SCIM 統合ではなく、手動で組織に招待された場合、ユーザー アカウントが SCIM ID に適切にリンクされない可能性があります。 これにより、将来、ユーザー アカウントが SCIM 経由でプロビジョニング解除されるのを防ぐことができます。 既存の SCIM 統合ではなくユーザーが手動で削除された場合、古いリンク ID が残り、ユーザーが組織に再参加する必要がある場合に問題が発生する可能性があります。

サポートされているアイデンティティプロバイダ

次の ID プロバイダー (IdP) は、organization の GitHub の SCIM API と互換性があります。 詳しくは、「SCIM の REST API エンドポイント」をご覧ください。

  • Microsoft Entra ID (旧称 Azure AD)
  • Okta
  • OneLogin

Organization の SCIM 構成について

専用設定アカウント

OAuth app を認証する前に、アクティブな SAML セッションが必要です。 詳しくは、「シングル サインオンでの認証について」をご覧ください。

メモ

名前IDとユーザー名が一致する必要があります。

参考資料

  •         [AUTOTITLE](/organizations/granting-access-to-your-organization-with-saml-single-sign-on/viewing-and-managing-a-members-saml-access-to-your-organization)