Enterprise のアイデンティティおよびアクセス管理のトラブルシューティング

エンタープライズの ID とアクセス管理に関する一般的な issue と解決方法を確認します。

この記事の内容

ユーザー名の競合

GitHub 上に各個人のユーザー名を作成するために SCIM API 呼び出しで ID プロバイダー (IdP) により送信される SCIM userName 属性値は、GitHub によって正規化されます。 複数のアカウントが同じ GitHub のユーザー名に正規化される場合、最初のユーザー アカウントのみが作成されます。 詳しくは、「外部認証のユーザー名に関する考慮事項」をご覧ください。

SSO を使用できない場合の Enterprise へのアクセス

構成エラーまたは ID プロバイダー (IdP) の issue によって SSO を使用できない場合は、管理コンソールにアクセスできるサイト管理者を使用して、設定を更新するか、SAML を一時的に無効にすることができます。 詳細については、「Web UI からインスタンスを管理する」を参照してください。

SCIM プロビジョニング エラー

Microsoft Entra ID (旧称 Azure AD) は、次の Entra ID 同期サイクル中に自動的に SCIM プロビジョニングを再試行します。 Entra ID の既定の SCIM プロビジョニング間隔は 40 分です。 この再試行動作の詳細については、Microsoft ドキュメントを参照してください。さらにサポートが必要な場合は、Microsoft サポートにお問い合わせください。

Okta は、SCIM プロビジョニングに失敗した場合、Okta 管理者の手動介入により再試行します。 Okta 管理者が特定のアプリケーションに対して失敗したタスクを再試行する方法の詳細については、Okta ドキュメントをご覧いただくか、さらなるサポートが必要であれば Okta サポートまでお問い合わせください。

通常、SCIM が正常に機能しているインスタンスでは、個々のユーザーの SCIM プロビジョニングの試行が失敗することがあります。 ユーザーは、アカウントが GitHub にプロビジョニングされるまでサインインできません。 このような個々の SCIM ユーザー プロビジョニングの失敗により、HTTP 400 範囲の状態コードが発生します。通常、これは、同じ正規化されたユーザー名を持つ別のユーザーが Enterprise 内に既に存在するという、ユーザー名の正規化またはユーザー名の競合に関する issue が原因で発生します。 「外部認証のユーザー名に関する考慮事項」を参照してください。

SAML 認証エラー

ユーザーが SAML で認証を行おうとするとエラーが発生する場合は、「SAML認証」をご覧ください。

SAML および SCIM データのマッピング エラー

GitHub Enterprise Server インスタンス上で SAML と SCIM を使っており、ユーザーの SAML データが既存の SCIM プロビジョニング ID と一致しない場合、GitHub からエラーが返されます。

Entra ID の場合、エラーは次のようになります。

Entra ID SAML および SCIM データのマッピング エラーのスクリーンショット。

他のすべての ID プロバイダーの場合、エラーは次のようになります。

Okta SAML および SCIM データのマッピング エラーのスクリーンショット。

このエラーが発生した場合は、次の手順に従ってください。

  1. インスタンス上のユーザーを検索して、SCIM ID がユーザーにプロビジョニングされていることを確認します。 インスタンス上で SCIM プロビジョニング ユーザーを検索する方法の詳細については、「Enterprise の人を表示する」を参照してください。
    • ユーザーがまだプロビジョニングされていない場合は、ID プロバイダーがプロビジョニング要求をまだ送信していないか、プロビジョニング要求が失敗しています。 Enterprise 管理者は、監査ログ イベントを使って、どちらのシナリオが影響しているかを判断できます。 詳細については、「REST API を使用した SCIM でユーザーとグループのプロビジョニング」を参照してください。
  2. ユーザーがインスタンスに正常にプロビジョニングされた場合は、エラー メッセージに記載されている SAML 属性の値が、一覧表示されている SCIM 属性の値と一致することを確認する必要があります。 SCIM 属性の値を確認するには、「Enterprise へのユーザの SAML アクセスの表示および管理」を参照してください。
    • たとえば、上記のスクリーンショットをトラブルシューティングするには、ユーザーの SCIM の "External ID" 値を確認します。 その値を使って、ユーザーが ID プロバイダーで正しい値を設定していることを確認します。

GitHub がユーザーの SAML および SCIM データをマッピングする方法の詳細については、「SCIM の REST API エンドポイント」を参照してください。

参考資料